Eksperti za sajber bezbjednost otkrili su sofisticiranu kampanju trovanja pretraživača (SEO poisoning) i malvertajzinga koja se od juna 2025. godine usmjerava na IT profesionalce. Ova kampanja koristi lažne veb-sajtove koji nude zaražene verzije popularnih IT alata, konkretno PuTTY i WinSCP, kako bi na sisteme žrtava instalirali backdoor malver.
Kampanja uspješno manipuliše rezultatima pretrage kako bi promovisala lažne stranice za preuzimanje koje se vješto podudaraju sa legitimnim spremištima softvera. Kada IT administratori u potrazi za ovim neophodnim alatima ukucaju svoje upite, prikazuju im se sponzorisani oglasi i kompromitovani rezultati pretrage koji ih preusmjeravaju na domen pod kontrolom napadača. Ključni alati na koje se ova kampanja fokusira su PuTTY, široko korišćeni SSH klijent za bezbjedne udaljene veze, te WinSCP, SFTP/FTP klijent za bezbjedan prenos sadržaja.
Tehnički detalji napada pokazuju da nakon preuzimanja i pokretanja zaraženih instalacija, žrtve nesvjesno instaliraju napredni backdoor poznat kao Oyster/Broomstick. Ovaj malver se odlikuje naprednim mehanizmima za održavanje prisustva u sistemu, što ga čini izuzetno opasnim u korporativnim okruženjima. Perzistenciju postiže putem zakazanih zadataka koji se izvršavaju svakih tri minuta, kao i izvršavanjem malicioznog DLL fajla (twain_96.dll) pomoću procesa rundll32.exe, te putem tehnika registracije DLL-ova koristeći izvoznu funkciju DllRegisterServer.
Napadači se specifično usmjeravaju na IT stručnjake i sistemske administratore jer oni obično posjeduju proširena ovlašćenja unutar korporativnih mreža. To ih čini poželjnim metama za hakere koji žele brzo širenje unutar mrežne infrastrukture, pristup osjetljivim podacima organizacije, preuzimanje kontrole nad kontrolerima domena ili deponovanje dodatnih malver payload-ova, uključujući ransomware. Napad efikasno koristi čestu potrebu IT stručnjaka za preuzimanjem administrativnih alata, čime socijalni inženjering postaje izuzetno uspješan. Mnogi administratori se oslanjaju na pretraživače za brzu lokaciju softvera, što stvara pogodnu priliku da hakeri presretnu te pretrage malicioznim rezultatima.
Arctic Wolf je identifikovao nekoliko domena povezanih s ovom kampanjom koje bi organizacije trebale odmah blokirati, uključujući: updaterputty[.]com, zephyrhype[.]com, putty[.]run, putty[.]bet i puttyy[.]org.
Kao preporuku organizacijama, savjetuje se implementacija pouzdanih praksi za nabavku softvera, zabranjujući osoblju korišćenje pretraživača za pronalaženje administrativnih alata, te uspostavljanje provjerenih internih spremišta softvera. Takođe, potrebno je zahtijevati direktno navigiranje na zvanične veb-sajtove proizvođača i implementirati stroge politike preuzimanja za IT alate. Dodatno, preporučuje se primjena mrežnih zaštita kao što je blokiranje identifikovanih malicioznih domena na nivou firewall-a, implementacija DNS filtriranja za sprečavanje pristupa poznatim kompromitovanim domenima, te nadzor sumnjivih zakazanih zadataka i DLL izvršavanja. Preporučuje se i raspoređivanje rješenja za detekciju i odgovor na krajnjim tačkama (EDR).
Ova kampanja predstavlja značajnu eskalaciju ciljanih napada na IT infrastrukturu. Slične kampanje trovanja pretraživača zabilježile su značajan porast, pri čemu stručnjaci za sajber bezbjednost bilježe povećanje od 103% u sličnim napadima tokom 2024. godine. Ciljanje esencijalnih IT alata jasno pokazuje adaptaciju prijetnji na metode koje iskorišćavaju svakodnevne radne tokove svojih žrtava. Otkriće ove kampanje naglašava kritičnu važnost implementacije robusnih praksi sajber bezbjednosti, posebno u pogledu nabavke softvera i zaštite krajnjih tačaka. Organizacije moraju ostati na oprezu jer hakeri neprekidno unapređuju svoje tehnike kako bi zaobišli tradicionalne bezbjednosne mjere i ciljali upravo profesionalce zadužene za održavanje mrežne bezbjednosti.
