資安業者Rapid7揭露惡意廣告的攻擊行動,這些廣告聲稱提供WinSCP、PuTTY等知名工具,一旦使用者點選,就會被引導到駭客的冒牌網站,而若是他們依照指示安裝對方提供的應用程式,就有可能引發勒索軟體攻擊。

研究人員在今年3月初,開始發現相關攻擊行動,駭客的攻擊鏈啟動,通常是使用者在Bing或其他搜尋引擎上,下達download winscp、download putty等指令進行搜尋開始,對方引誘使用者點選廣告內容並下載應用程式,並提供ZIP壓縮檔,以便進行後續攻擊行動。

若是使用者進行解壓縮、執行壓縮檔內的Setup.exe,電腦就會側載駭客提供的python311.dll,從而執行經過加密處理的Python指令碼,然後於受害電腦植入滲透測試工具Silver,藉此投放更多惡意酬載,最終嘗試部署勒索軟體,但並未得逞。

研究人員指出,這波攻擊行動很有可能是針對企業組織的系統管理員而來,因為他們經常會使用上述兩款軟體。由於系統管理員握有高權限,一旦攻擊者得逞,就有機會在內部網路的環境快速散布惡意軟體、竊取機密資料,或是存取網域控制器。

熱門新聞

Advertisement