5 月 22 日消息，安全公司 Rapid7 近日公布報告，發(fā)現(xiàn)最近有一批黑客制作 WinSCP、PuTTY 等知名網(wǎng)絡工具的山寨官網(wǎng)，并在搜索引擎中刊登廣告引流，一旦不知情的受害者點擊訪問，就會被引導到黑客的假冒網(wǎng)站，進而下載帶有勒索病毒的軟件。

研究人員在今年 3 月初開始發(fā)現(xiàn)相關(guān)攻擊行動。黑客首先制作一批山寨官網(wǎng)，接著在必應谷歌等搜索引擎購買廣告提升自家山寨網(wǎng)站搜索權(quán)重，只要不知情的受害者在搜索引擎中輸入“download winscp”或“download putty”進行搜索，就有可能訪問到山寨官網(wǎng)。

據(jù)悉，這些山寨網(wǎng)站提供的病毒文件通常以 ZIP 壓縮包為形式，如果受害者解壓縮并運行壓縮包內(nèi)的 Setup.exe，電腦便會安裝黑客提供的 python311.dll，進而運行經(jīng)過加密處理的 Python 腳本，并在受害電腦上植入滲透測試工具 Silver，以投放更多惡意木馬及部署勒索軟件。

研究人員指出，這波攻擊行動很可能是針對 IT 系統(tǒng)管理員 / 路由器愛好者而來，因為這些用戶經(jīng)常使用上述兩款軟件。由于此類管理員賬號擁有較高權(quán)限，一旦黑客得逞，就有機會快速滲透企業(yè)內(nèi)部網(wǎng)絡環(huán)境，進而竊取各種機密數(shù)據(jù)。