5 月 22 日消息，安全公司 Rapid7 近日公布報告，發現最近有一批黑客制作 WinSCP、PuTTY 等知名網絡工具的山寨官網，并在搜索引擎中刊登廣告引流，一旦不知情的受害者點擊訪問，就會被引導到黑客的假冒網站，進而下載帶有勒索病毒的軟件。

研究人員在今年 3 月初開始發現相關攻擊行動。黑客首先制作一批山寨官網，接著在必應谷歌等搜索引擎購買廣告提升自家山寨網站搜索權重，只要不知情的受害者在搜索引擎中輸入“download winscp”或“download putty”進行搜索，就有可能訪問到山寨官網。

據悉，這些山寨網站提供的病毒文件通常以 ZIP 壓縮包為形式，如果受害者解壓縮并運行壓縮包內的 Setup.exe，電腦便會安裝黑客提供的 python311.dll，進而運行經過加密處理的 Python 腳本，并在受害電腦上植入滲透測試工具 Silver，以投放更多惡意木馬及部署勒索軟件。

研究人員指出，這波攻擊行動很可能是針對 IT 系統管理員 / 路由器愛好者而來，因為這些用戶經常使用上述兩款軟件。由于此類管理員賬號擁有較高權限，一旦黑客得逞，就有機會快速滲透企業內部網絡環境，進而竊取各種機密數據。