Eksperti za sajberbezbjednost su otkrili sofisticiranu kampanju trovanja pretraživača (SEO poisoning) i malvertajzinga koja se od juna 2025. godine usmjerava na IT profesionalce. Ova kampanja koristi lažne veb-sajtove koji nude zaražene verzije popularnih IT alata, konkretno PuTTY i WinSCP, kako bi na sisteme žrtava instalirali backdoor malver.
Kampanja uspješno manipuliše rezultatima pretrage kako bi promovirala lažne stranice za preuzimanje koje se vješto podudaraju sa legitimnim spremištima softvera. Kada IT administratori u potrazi za ovim neophodnim alatima ukucaju svoje upite, bivaju im prikazani sponzorisani oglasi i kompromitovani rezultati pretrage koji ih preusmjeravaju na domen kontrole napadača. Ključni alati na koje se ova kampanja fokusira su PuTTY, široko korišteni SSH klijent za sigurne udaljene veze, te WinSCP, SFTP/FTP klijent za siguran prijenos datoteka.
Tehnički detalji napada pokazuju da nakon preuzimanja i pokretanja zaraženih instalacija, žrtve nesvjesno instaliraju napredni backdoor poznat kao Oyster/Broomstick. Ovaj malver se odlikuje naprednim mehanizmima za održavanje prisustva u sistemu, što ga čini izuzetno opasnim u korporativnim okruženjima. Postizanje perzistencije omogućava mu putem zakazanih zadataka koji se izvršavaju svakih tri minuta, kao i izvršavanja zlonamjernog DLL fajla (twain_96.dll) pomoću procesa rundll32.exe, te putem tehnika registracije DLL-ova koristeći izvoznu funkciju DllRegisterServer.
Napadači se specifično usmjeravaju na IT stručnjake i sistemske administratore jer oni obično posjeduju proširena ovlašćenja unutar korporativnih mreža. To ih čini poželjnim metama za zloćudne aktere koji žele brzo širenje unutar mrežne infrastrukture, pristup osjetljivim podacima organizacije, preuzimanje kontrole nad kontrolerima domena ili deponovanje dodatnih malver payload-ova, uključujući ransomware. Napad efikasno koristi čestu potrebu IT stručnjaka za preuzimanjem administrativnih alata, čime socijalni inžinjering postaje izuzetno uspješan. Mnogi administratori se oslanjaju na pretraživače za brzu lokaciju softvera, što stvara pogodnu priliku da napadači presretnu te pretrage zlonamjernim rezultatima.
Arctic Wolf je identifikovao nekoliko domena povezanih s ovom kampanjom koje bi organizacije trebale odmah blokirati, uključujući: updaterputty[.]com, zephyrhype[.]com, putty[.]run, putty[.]bet i puttyy[.]org.
Kao preporuku organizacijama, savjetuje se implementacija pouzdanih praksi za nabavku softvera, zabranjujući osoblju korištenje pretraživača za pronalaženje administrativnih alata, te uspostavljanje provjerenih internih spremišta softvera. Također, potrebno je zahtijevati direktno navigiranje na zvanične veb-sajtove proizvođača i implementirati stroge politike preuzimanja za IT alate. Dodatno, preporučuje se primjena mrežnih zaštita kao što je blokiranje identifikovanih zlonamjernih domena na nivou firewall-a, implementacija DNS filtriranja za sprečavanje pristupa poznatim kompromitovanim domenima, te nadzor sumnjivih zakazanih zadataka i DLL izvršavanja. Preporučuje se i raspoređivanje rješenja za detekciju i odgovor na krajnjim tačkama (EDR).
Ova kampanja predstavlja značajnu eskalaciju ciljanih napada na IT infrastrukturu. Slične kampanje trovanja pretraživača su zabilježile značajan porast, pri čemu stručnjaci za sajberbezbjednost bilježe povećanje od 103% u sličnim napadima tokom 2024. godine. Ciljanje esencijalnih IT alata jasno pokazuje adaptaciju prijetnji na metode koje iskorištavaju svakodnevne radne tokove svojih žrtava. Otkriće ove kampanje naglašava kritičnu važnost implementacije robusnih praksi sajberbezbjednosti, posebno u pogledu nabavke softvera i zaštite krajnjih tačaka. Organizacije moraju ostati na oprezu jer napadači neprekidno unapređuju svoje tehnike kako bi zaobišli tradicionalne sigurnosne mjere i ciljali upravo profesionalce zadužene za održavanje mrežne sigurnosti.
