Depuis début juin 2025, Arctic Wolf a observé une campagne de malvertising et d’empoisonnement SEO visant à promouvoir des sites web malveillants hébergeant des versions trojanisées d’outils IT légitimes tels que PuTTY et WinSCP.
Ces sites frauduleux cherchent à tromper les utilisateurs, souvent des professionnels IT, pour qu’ils téléchargent et exécutent des installateurs trojanisés. Lors de l’exécution, un backdoor connu sous le nom de Oyster/Broomstick est installé. La persistance est assurée par la création d’une tâche planifiée qui s’exécute toutes les trois minutes, lançant une DLL malveillante (twain_96.dll) via rundll32.exe en utilisant l’export DllRegisterServer.
Bien que seules les versions trojanisées de PuTTY et WinSCP aient été observées dans cette campagne, il est possible que d’autres outils soient également impliqués. Arctic Wolf recommande de limiter l’exposition à l’empoisonnement SEO en utilisant des pratiques d’acquisition de logiciels de confiance, et de bloquer les domaines malveillants associés à la campagne.
Les IOCs incluent les domaines malveillants suivants :
- updaterputty[.]com
- zephyrhype[.]com
- putty[.]run
- putty[.]bet
- puttyy[.]org
Cet article est une alerte de sécurité visant à informer les professionnels IT des risques associés à cette campagne et à recommander des mesures pour atténuer ces risques.
🔗 Source originale : https://arcticwolf.com/resources/blog/malvertising-campaign-delivers-oyster-broomstick-backdoor-via-seo-poisoning-trojanized-tools/