IT 之家 3 月 8 日消息,科技媒體 bleepingcomputer 昨日(3 月 7 日)發布博文,報道稱微軟成功搗毀了一批用于大規模投放惡意廣告活動的 GitHub 倉庫,這些活動已影響全球近百萬台設備。
微軟威脅分析師于 2024 年 12 月初發現了這些攻擊,觀察到多台設備從 GitHub 倉庫下載惡意軟件,随後在受感染系統上部署了一系列其他惡意載荷。
微軟随後發現此類攻擊共分爲 4 個階段,第一階段中,攻擊者将廣告注入非法盜版流媒體網站的視頻中,将潛在受害者重定向至其控制的惡意 GitHub 倉庫。流媒體網站通過電影幀嵌入惡意廣告重定向器,從中獲取按點擊或按觀看付費的收入。IT 之家附上圖片如下:
這些重定向器通過一至兩個額外的惡意重定向器,最終将流量導向惡意網站或技術支持詐騙網站,再進一步重定向至 GitHub。
惡意軟件設計用于執行系統發現,收集詳細系統信息(如内存大小、顯卡詳情、屏幕分辨率、操作系統和用戶路徑),并在部署第二階段載荷時竊取數據。
第三階段的 PowerShell 腳本從命令控制服務器下載 NetSupport 遠程訪問木馬(RAT),并在注冊表中建立持久性。執行後,惡意軟件還可部署 Lumma 信息竊取程序和開源 Doenerium 竊取程序,竊取用戶數據和浏覽器憑證。
如果第三階段載荷是可執行文件,它會創建并運行 CMD 文件,同時釋放一個重命名的 AutoIt 解釋器。AutoIt 組件随後啓動二進制文件,并可能釋放另一個版本的 AutoIt 解釋器。
AutoIt 載荷使用 RegAsm 或 PowerShell 打開文件,啓用遠程浏覽器調試,并竊取更多信息,在某些情況下,PowerShell 還用于配置 Windows Defender 的排除路徑或釋放更多 NetSupport 載荷。
GitHub 是此次活動中托管第一階段載荷的主要平台,但微軟威脅情報團隊還觀察到 Dropbox 和 Discord 上也托管了部分載荷。
此次攻擊活動被命名爲 "Storm-0408",涉及多個與遠程訪問或信息竊取惡意軟件相關的威脅行爲者,他們通過釣魚、搜索引擎優化(SEO)或惡意廣告活動分發惡意載荷。
