PuTTY.exe оказался троянским конём. В реальности — RedLine, ворующий кошельки и пароли

Ты не отличишь его от настоящего — и именно поэтому он заразит тебя первым.


qvi69wptjsbnr78djkxuep7v3h9zdwh5.jpg


ИБ-специалисты из Arctic Wolf выявили новую волну атак с применением техники SEO-отравления, целью которых стало распространение известного вредоносного загрузчика под названием Oyster, также известного как Broomstick или CleanUpLoader. Мошенники используют поддельные сайты, имитирующие официальные ресурсы популярных утилит вроде PuTTY и WinSCP, чтобы обмануть пользователей, преимущественно IT-специалистов, ищущих эти инструменты в поисковых системах.

Вредоносный сайт предлагает скачать фальшивую версию нужной программы. После запуска на устройстве жертвы устанавливается бэкдор Oyster. Злоумышленники обеспечивают его постоянную работу, создавая запланированную задачу, которая каждые три минуты запускает вредоносную библиотеку DLL с помощью утилиты «rundll32.exe». Это указывает на использование механизма регистрации DLL для закрепления в системе.

В числе поддельных сайтов, с помощью которых распространяется вредоносное ПО, названы такие домены, как updaterputty[.]com, zephyrhype[.]com, putty[.]run, putty[.]bet и puttyy[.]org. Специалисты подозревают, что список программ, с помощью которых может распространяться загрузчик, не ограничивается только PuTTY и WinSCP.

Наряду с этим активизировались и другие кампании, использующие SEO-отравление для продвижения вредоносных программ, связанных с искусственным интеллектом. Так, при поиске ИИ-инструментов пользователи могут попасть на сайты, со вшитым JavaScript-кодом, который проверяет наличие блокировщиков рекламы и собирает информацию о браузере. Далее начинается серия переадресаций, ведущих на фишинговую страницу, где предлагается загрузить ZIP-архив с вредоносным ПО.

По данным Zscaler, конечным результатом загрузки часто становится Vidar Stealer или Lumma Stealer — оба распространяются в виде архивов с паролем, указанным на странице загрузки. Архив содержит установщик NSIS размером 800 МБ, что создаёт иллюзию легитимности и помогает обойти антивирусы, ориентирующиеся на размер файла. Установщик запускает скрипт AutoIt, который отвечает за активацию вредоносной нагрузки. Вариант с Legion Loader использует MSI-файл и BAT-скрипт для доставки вредоносного кода.

Другая схожая кампания делает ставку на подделку CAPTCHA-страниц Cloudflare. Пользователей заманивают фейковые страницы популярных веб-сервисов, где используется известная техника ClickFix для установки RedLine Stealer с помощью Hijack Loader.

Согласно данным «Лаборатории Касперского», под прицел всё чаще попадают малые и средние компании. Только за первые четыре месяца 2025 года было зафиксировано около 8500 атак, где вредоносные или потенциально нежелательные программы маскировались под инструменты вроде OpenAI ChatGPT, DeepSeek, Cisco AnyConnect, Google Drive, Microsoft Office, Teams, Salesforce и Zoom. На Zoom пришёлся 41% всех уникальных вредоносных файлов, за ним следуют Outlook и PowerPoint (по 16%), Excel (12%), Word (9%) и Teams (5%). Число поддельных файлов под видом ChatGPT выросло на 115% и достигло 177.

Особую опасность представляют атаки, использующие техподдержку известных брендов в поисковых системах. При поиске сервисных страниц Apple, Microsoft, Netflix или PayPal пользователь может попасть на поддельный сайт, выглядящий как официальный. Но вместо настоящего номера службы поддержки отображается мошеннический . Этот приём реализуется с помощью внедрения параметров поиска, что позволяет изменить отображение страницы, не изменяя её URL в выдаче. Такие страницы активно продвигаются через платные результаты в Google.

Эти инциденты демонстрируют, насколько агрессивно злоумышленники используют доверие к известным брендам, рекламным платформам и поисковым системам для доставки вредоносного ПО. Совмещение социальных уловок, технических трюков и масштабного охвата через SEO-отравление превращает обычные поисковые запросы в потенциальные ловушки.

Новая волна атак не просто подделывает программы или сервисы — она превращает сами механизмы интернет-навигации в инструмент компрометации, делая каждую загрузку и каждый клик точкой риска.