IT之家 3 月 8 日消息,科技媒体 bleepingcomputer 昨日(3 月 7 日)发布博文,报道称微软成功捣毁了一批用于大规模投放恶意广告活动的 GitHub 仓库,这些活动已影响全球近百万台设备。
微软威胁分析师于 2024 年 12 月初发现了这些攻击,观察到多台设备从 GitHub 仓库下载恶意软件,随后在受感染系统上部署了一系列其他恶意载荷。
微软随后发现此类攻击共分为 4 个阶段,第一阶段中,攻击者将广告注入非法盗版流媒体网站的视频中,将潜在受害者重定向至其控制的恶意 GitHub 仓库。流媒体网站通过电影帧嵌入恶意广告重定向器,从中获取按点击或按观看付费的收入。IT之家附上图片如下:
这些重定向器通过一至两个额外的恶意重定向器,最终将流量导向恶意网站或技术支持诈骗网站,再进一步重定向至 GitHub。
恶意软件设计用于执行系统发现,收集详细系统信息(如内存大小、显卡详情、屏幕分辨率、操作系统和用户路径),并在部署第二阶段载荷时窃取数据。
第三阶段的 PowerShell 脚本从命令控制服务器下载 NetSupport 远程访问木马(RAT),并在注册表中建立持久性。执行后,恶意软件还可部署 Lumma 信息窃取程序和开源 Doenerium 窃取程序,窃取用户数据和浏览器凭证。
如果第三阶段载荷是可执行文件,它会创建并运行 CMD 文件,同时释放一个重命名的 AutoIt 解释器。AutoIt 组件随后启动二进制文件,并可能释放另一个版本的 AutoIt 解释器。
AutoIt 载荷使用 RegAsm 或 PowerShell 打开文件,启用远程浏览器调试,并窃取更多信息,在某些情况下,PowerShell 还用于配置 Windows Defender 的排除路径或释放更多 NetSupport 载荷。
GitHub 是此次活动中托管第一阶段载荷的主要平台,但微软威胁情报团队还观察到 Dropbox 和 Discord 上也托管了部分载荷。
此次攻击活动被命名为“Storm-0408”,涉及多个与远程访问或信息窃取恶意软件相关的威胁行为者,他们通过钓鱼、搜索引擎优化(SEO)或恶意广告活动分发恶意载荷。
