08/07/25
ИБ-специалисты из Arctic Wolf выявили новую волну атак с применением техники SEO-отравления, целью которых стало распространение известного вредоносного загрузчика под названием Oyster, также известного как Broomstick или CleanUpLoader. Мошенники используют поддельные сайты, имитирующие официальные ресурсы популярных утилит вроде PuTTY и WinSCP, чтобы обмануть пользователей, преимущественно IT-специалистов, ищущих эти инструменты в поисковых системах. Об этом пишет Securitylab.
Вредоносный сайт предлагает скачать фальшивую версию нужной программы. После запуска на устройстве жертвы устанавливается бэкдор Oyster. Злоумышленники обеспечивают его постоянную работу, создавая запланированную задачу, которая каждые три минуты запускает вредоносную библиотеку DLL с помощью утилиты «rundll32.exe». Это указывает на использование механизма регистрации DLL для закрепления в системе.
В числе поддельных сайтов, с помощью которых распространяется вредоносное ПО, названы такие домены, как updaterputty[.]com, zephyrhype[.]com, putty[.]run, putty[.]bet и puttyy[.]org. Специалисты подозревают, что список программ, с помощью которых может распространяться загрузчик, не ограничивается только PuTTY и WinSCP.
Наряду с этим активизировались и другие кампании, использующие SEO-отравление для продвижения вредоносных программ, связанных с искусственным интеллектом. Так, при поиске ИИ-инструментов пользователи могут попасть на сайты, со вшитым JavaScript-кодом, который проверяет наличие блокировщиков рекламы и собирает информацию о браузере. Далее начинается серия переадресаций, ведущих на фишинговую страницу, где предлагается загрузить ZIP-архив с вредоносным ПО.
По данным Zscaler, конечным результатом загрузки часто становится Vidar Stealer или Lumma Stealer — оба распространяются в виде архивов с паролем, указанным на странице загрузки. Архив содержит установщик NSIS размером 800 МБ, что создаёт иллюзию легитимности и помогает обойти антивирусы, ориентирующиеся на размер файла. Установщик запускает скрипт AutoIt, который отвечает за активацию вредоносной нагрузки. Вариант с Legion Loader использует MSI-файл и BAT-скрипт для доставки вредоносного кода.
