Bleeping Computerは5月18日(米国時間)、「Ransomware gang targets Windows admins via PuTTy, WinSCP malvertising」において、「WinSCP」および「PuTTY」の偽広告からランサムウェアを展開するマルバタイジング攻撃キャンペーンに注意を呼びかけた。この攻撃では、使用される偽広告の特徴から、Windowsのシステム管理者を標的にしている可能性が高いとみられる。

  • Ransomware gang targets Windows admins via PuTTy、WinSCP malvertising

    Ransomware gang targets Windows admins via PuTTy, WinSCP malvertising

マルバタイジング攻撃キャンペーンの概要

Bleeping Computerによると、検索サイトで「download winscp」または「download putty」を検索すると、WinSCPおよびPuTTYの偽広告が表示されるという。これら広告には、次のようなタイポスクワッティングドメイン名が使用されたことが確認されている。

  • puttty[.]org
  • puutty[.]org
  • wnscp[.]net
  • vvinscp[.]net

なお、puttyの検索時に上位に表示される「https://www.putty.org/」は公式サイトではない。「https://www.chiark.greenend.org.uk/~sgtatham/putty/index.html」が公式サイトとされる。今回の攻撃者もこの勘違いをしていたとみられ、上記の偽サイトはputty.orgを模倣していたことがわかっている。

  • マルウェアを配布するPuTTYの偽サイト - 引用:Rapid7

    マルウェアを配布するPuTTYの偽サイト 引用:Rapid7

ランサムウェア配布の流れ

これら偽サイトからダウンロードしたファイルをインストールすると、DLL(Dynamic Link Library)のサイドローディング技術を使用して悪意のある「python311.dll」が実行される。python311.dllは暗号化されたPythonスクリプトを抽出し、実行する。

Pythonスクリプトは、攻撃者が利用できるように設定されたセキュリティテストツール「Silver C2」をインストールする。その後、攻撃者はSilver C2を使用して「Cobalt Strike」のインストールや、「BlackCat/ALPHV」に類似したランサムウェアの展開を試みる。

  • 今回のキャンペーンにおける侵害経路 - 引用:Rapid7

    今回のキャンペーンにおける侵害経路  引用:Rapid7

対策

近年、偽広告を使用するマルバタイジング攻撃が増加傾向にある。これは比較的容易に結果が得られるためとみられており、多くの人気のソフトウェアが悪用されている。

そのため、検索サイトを使用してソフトウェアをダウンロードする場合は、ダウンロード前にアクセスしているドメイン名に間違いがないか確認することが推奨されている。また、既知の悪意のあるWebサイトへのアクセスを防止するため、ブラウザーの保護機能を持つセキュリティソリューションの導入も望まれている。