Осторожно, BlackCat: поддельная реклама в поиске WinSCP распространяет вредоносный код

Эксперты обнаружили новую кампанию распространения вредноса BlackCat, которая использует поддельные рекламные объявления в поиске WinSCP, популярном клиенте для передачи файлов по протоколам SSH и FTP. При нажатии на эти объявления пользователи перенаправляются на сайт, который предлагает скачать фальшивую версию WinSCP, содержащую вредоносный код Cobalt Strike.

Cobalt Strike - это инструмент для тестирования на проникновение, который часто используется злоумышленниками для создания сетевых лазеек и установки дополнительных вредоносных программ. В данном случае Cobalt Strike используется для загрузки и запуска вымогателя BlackCat, который шифрует файлы жертвы и требует выкуп в размере 0,75 биткоина (около 30 тысяч долларов).

Этот ранее неизвестный вектор заражения программой-вымогателем ALPHV был выявлен аналитиками Trend Micro, которые обнаружили рекламные кампании, продвигающие поддельные страницы на поисковых страницах Google и Bing. По их данным, атаки начались в конце июня 2023 года и продолжается до сих пор. Злоумышленники используют различные домены для своих поддельных сайтов и рекламных объявлений, а также меняют названия своих вредоносных файлов.

Пользователям рекомендуется быть осторожными при скачивании программ с интернета и проверять их на вирусы перед запуском. Также важно иметь резервные копии своих данных и не платить выкуп злоумышленникам, так как это не гарантирует восстановление файлов.