微软在2024年12月初发现了一起大规模恶意广告活动,这些恶意活动通过GitHub仓库传播,已经影响到全球近百万台设备。微软威胁分析师发现多台设备从GitHub仓库下载恶意软件,攻击分为4个阶段,涉及从在盗版流媒体网站视频中注入广告到重定向至恶意网站、窃取数据等一系列恶意行为,同时还介绍了GitHub并非唯一的载荷托管平台,此次攻击活动被命名为“Storm - 0408”,背后有多个威胁行为者通过多种方式分发恶意载荷等内容。
据IT之家3月8日消息,科技媒体bleepingcomputer在3月7日发布博文称,微软已经成功捣毁了一批GitHub仓库,而这些仓库被用于大规模的恶意广告活动,这种恶意广告活动的影响范围相当广泛,全球近百万台设备都受到了波及。
早在2024年12月初的时候,微软的威胁分析师就察觉到了这些攻击的迹象。他们发现有许多设备都在从GitHub仓库下载恶意软件,这之后,这些被感染的系统上就被部署了一系列其他的恶意载荷。
微软经过深入研究发现,此类攻击总共包含4个阶段。在第一阶段里,攻击者想出了一种相当狡猾的手段。他们会把广告注入到那些非法盗版的流媒体网站的视频当中。这样一来,那些潜在的受害者一旦观看视频,就会被重定向到攻击者所控制的恶意GitHub仓库。而这些流媒体网站呢,通过在电影帧里嵌入恶意广告重定向器,从中获取按点击或者按观看付费的收入。下面是IT之家附上的图片:
这些重定向器会通过一到两个额外的恶意重定向器,最终把流量导向恶意网站或者技术支持诈骗网站,然后再进一步重定向到GitHub。
恶意软件被设计出来的目的可不少,它可以执行系统发现,把像内存大小、显卡详情、屏幕分辨率、操作系统和用户路径这样详细的系统信息收集起来,并且在部署第二阶段载荷的时候窃取数据。
到了第三阶段,PowerShell脚本会从命令控制服务器下载NetSupport远程访问木马(RAT),并且在注册表中建立持久性。一旦执行,恶意软件还能够部署Lumma信息窃取程序和开源Doenerium窃取程序,从而窃取用户数据和浏览器凭证。
要是第三阶段的载荷是可执行文件的话,它会创建并且运行CMD文件,同时释放一个重新命名的AutoIt解释器。AutoIt组件随后会启动二进制文件,并且有可能释放另一个版本的AutoIt解释器。
AutoIt载荷会使用RegAsm或者PowerShell打开文件,启用远程浏览器调试,并且窃取更多的信息。在某些情况下,PowerShell还会被用于配置Windows Defender的排除路径或者释放更多的NetSupport载荷。
GitHub是在这次活动当中托管第一阶段载荷的主要平台,不过微软威胁情报团队还发现,Dropbox和Discord上也托管了一部分载荷。
这次的攻击活动被命名为“Storm - 0408”,这背后涉及到多个与远程访问或者信息窃取恶意软件相关的威胁行为者,他们通过钓鱼、搜索引擎优化(SEO)或者恶意广告活动来分发恶意载荷。
本文总结了微软捣毁与大规模恶意广告活动相关的GitHub仓库事件。阐述了攻击发现的时间、攻击的四个阶段(包括恶意广告的注入、重定向、数据窃取等手段)、各阶段恶意软件的行为以及涉及的其他载荷托管平台,还提及此次攻击活动的命名和背后的威胁行为者及其分发恶意载荷的方式等内容。
原创文章,作者:Foster,如若转载,请注明出处:https://www.gouwuzhinan.com/archives/31709.html
