PuTTy e WinSCP distribuídos em campanhas maliciosas pela Google
Vários grupos de ransomware encontram-se a focar utilizadores do sistema Windows, distribuindo versões modificadas de programas como o PuTTy e WinSCP para administradores de sistemas.
Estes programas são distribuídos sobretudo em publicidade da Google, e surgem no topo dos resultados de pesquisa. Os mesmos fazem-se passar pelos programas legítimos, com sites criados para enganar os utilizadores e levar a descarregar as variantes maliciosas.
Os programas foram modificados para conterem malware, nomeadamente para o roubo dos dados que sejam usados para acesso aos sistemas via esses programas. Em base, os programas parecem funcionar como esperado, pelo que os utilizadores podem ser afetados sem saberem.
De acordo com os investigadores da empresa de segurança Rapid7, as campanhas parecem focadas para quem usa o Google para procurar como descarregar estes programas, onde a publicidade maliciosa usa o próprio motor de pesquisa para surgir no topo dos resultados.
Se os utilizadores descarregarem as aplicações existentes nos sites maliciosos, estas tentam instalar malware no sistema, via scripts phyton, que correm no Windows diretamente. Feito isto, o programa instala como era suposto, pelo que os utilizadores podem ter acesso ao mesmo na normalidade.
Mas em segundo plano é igualmente instalado o malware, que procede com o roubo de dados sensíveis do sistema, nomeadamente de acesso a servidores e outras fontes remotas.
Como sempre, é recomendado que se tenha atenção ao local de onde os conteúdos são descarregados. A publicidade da Google tem sido cada vez mais usada para distribuir malware, fazendo-se passar por software legítimo, e aproveitando as pesquisas dos utilizadores para tal. Como esta surge antes de todos os resultados, pode levar mais utilizadores a carregarem nessas opções do que nos resultados reais.
No passado, já ocorreram casos similares para diverso software, como o 7-Zip, CCleaner, entre outros.