據(jù)Rapid7公司報(bào)告顯示，近期出現(xiàn)了一批利用WinSCP和PuTTY等知名網(wǎng)絡(luò)工具的山寨版官網(wǎng)的黑客行為。他們通過搜索引擎推廣引誘受害人進(jìn)入虛假網(wǎng)站，進(jìn)而讓其下載帶有勒索病毒的軟件。

據(jù)悉，該攻擊始于今年三月份，黑客在各大搜索引擎如微軟必應(yīng)、谷歌等平臺(tái)上購買廣告，提高山寨網(wǎng)站的搜索排名。當(dāng)受害人在搜索引擎中輸入“download winscp”或“download putty”時(shí)，就有可能誤入山寨網(wǎng)站。

這些山寨網(wǎng)站提供的病毒文件通常以ZIP壓縮包形式存在，一旦受害人解壓并運(yùn)行其中的Setup.exe程序，電腦將自動(dòng)安裝黑客提供的python311.dll，并執(zhí)行經(jīng)過加密處理的Python腳本，從而在受害電腦上植入滲透測(cè)試工具Silver，進(jìn)一步傳播惡意木馬和部署勒索軟件。

研究人員認(rèn)為，此次攻擊主要針對(duì)IT系統(tǒng)管理員/路由器愛好者，因?yàn)檫@類人群常使用以上兩款軟件。一旦黑客成功入侵此類管理員賬戶，便可迅速滲透企業(yè)內(nèi)部網(wǎng)絡(luò)環(huán)境，竊取重要信息。