Новая троянская программа маскируется под PuTTY


SymantecСпециалистами компании Symantec была выявлена созданная злоумышленниками вредоносная версия SSH-клиента PuTTY. Обнаруженное вредоносное программное обеспечение позволяет получать доступ к компьютеру жертвы и похищать информацию. Данная троянская программа не нова. Ее распространение началось еще в конце 2013 года, однако тогда оно было минимальным.

При помощи основанного на коде PuTTY трояна злоумышленники перенаправляют пользователя со страницы скомпрометированного сайта стороннего разработчика на созданный собственными силами ресурс. Если для связи с другим компьютером или сервером используется вредоносная версия PuTTY, тогда злоумышленники получают присланные с устройства жертвы конфиденциальные данные, такие как логины и пароли.

Само распространение вредоносного приложения происходит в три этапа:

  • Пользователь осуществляет в интернете поиск по запросу "PuTTY".
  • Поисковый движок выводит множество результатов. А вместо посещения официального сайта разработчика PuTTY жертва будет перенаправлена на скомпрометированный ресурс стороннего разработчика.
  • Перенаправление пользователя с ресурса происходит несколько раз, в результате жертва попадает на сайт, где будет загружена поддельная версия PuTTY.


Стоит отметить, что файл установки вредоносной копии PuTTY имеет намного больший размер, чем установщик последней версии настоящего приложения.

Обычно PuTTY использует для подключения стандартный SSH URL:

  • "ssh://[USER NAME]:
    [PASSWORD]@[HOST NAME]:[PORT NUMBER]".


Фальшивая версия программы копирует SSH URL-адрес подключения, и после шифрования отправляет его злоумышленникам.


Обновлено (19.05.2015 23:52)