L’article de Cyber Security News rapporte une campagne sophistiquée de SEO poisoning et de malvertising découverte par les chercheurs en sécurité d’Arctic Wolf. Cette campagne, active depuis juin 2025, cible spécifiquement les administrateurs systèmes en utilisant des versions trojanisées de logiciels populaires tels que PuTTY et WinSCP.
Les attaquants manipulent les moteurs de recherche pour promouvoir de faux sites de téléchargement imitant les dépôts de logiciels légitimes. Les administrateurs IT, à la recherche de ces outils essentiels, sont redirigés vers des domaines contrôlés par les attaquants via des résultats de recherche empoisonnés et des publicités sponsorisées.
Une fois les installateurs trojanisés exécutés, un malware backdoor sophistiqué nommé Oyster/Broomstick est installé. Ce malware utilise des mécanismes avancés de persistance, tels que des tâches planifiées et l’exécution de DLL malveillantes, pour s’infiltrer dans les environnements d’entreprise.
Les domaines malveillants identifiés incluent :
- updaterputty[.]com
- zephyrhype[.]com
- putty[.]run
- putty[.]bet
- puttyy[.]org
L’article conclut sur l’importance de la mise en place de pratiques robustes en matière de cybersécurité, en particulier pour l’acquisition de logiciels et la protection des terminaux, face à cette évolution préoccupante des attaques ciblant l’infrastructure IT.
🔗 Source originale : https://cybersecuritynews.com/trojan-versions-of-putty-and-winscp/