5 月 22 日消息，安全公司 Rapid7 近日公布報(bào)告，發(fā)現(xiàn)最近有一批黑客制作 WinSCP、PuTTY 等知名網(wǎng)絡(luò)工具的山寨官網(wǎng)，并在搜索引擎中刊登廣告引流，一旦不知情的受害者點(diǎn)擊訪問，就會(huì)被引導(dǎo)到黑客的假冒網(wǎng)站，進(jìn)而下載帶有勒索病毒的軟件。

研究人員在今年 3 月初開始發(fā)現(xiàn)相關(guān)攻擊行動(dòng)。黑客首先制作一批山寨官網(wǎng)，接著在必應(yīng)谷歌等搜索引擎購(gòu)買廣告提升自家山寨網(wǎng)站搜索權(quán)重，只要不知情的受害者在搜索引擎中輸入“download winscp”或“download putty”進(jìn)行搜索，就有可能訪問到山寨官網(wǎng)。

據(jù)悉，這些山寨網(wǎng)站提供的病毒文件通常以 ZIP 壓縮包為形式，如果受害者解壓縮并運(yùn)行壓縮包內(nèi)的 Setup.exe，電腦便會(huì)安裝黑客提供的 python311.dll，進(jìn)而運(yùn)行經(jīng)過(guò)加密處理的 Python 腳本，并在受害電腦上植入滲透測(cè)試工具 Silver，以投放更多惡意木馬及部署勒索軟件。

研究人員指出，這波攻擊行動(dòng)很可能是針對(duì) IT 系統(tǒng)管理員 / 路由器愛好者而來(lái)，因?yàn)檫@些用戶經(jīng)常使用上述兩款軟件。由于此類管理員賬號(hào)擁有較高權(quán)限，一旦黑客得逞，就有機(jī)會(huì)快速滲透企業(yè)內(nèi)部網(wǎng)絡(luò)環(huán)境，進(jìn)而竊取各種機(jī)密數(shù)據(jù)。