【大浪资讯】3月8日快讯:近日,科技媒体bleepingcomputer揭露了一则重要信息:微软成功摧毁了一系列用于大规模恶意广告投放的GitHub仓库。据悉,这些恶意活动已波及全球近百万台设备,对网络安全构成了严重威胁。
恶意活动规模庞大,影响广泛
微软的威胁分析师在2024年12月初首次发现了这些攻击行为。调查发现,多台设备从GitHub仓库下载了恶意软件,并在受感染的系统上部署了进一步的恶意载荷。
攻击分为四个阶段,手段复杂
微软进一步分析了这些攻击,发现其分为四个阶段。在第一阶段,攻击者将广告植入非法盗版流媒体网站的视频中,将用户重定向至其控制的恶意GitHub仓库。流媒体网站通过在电影帧中嵌入恶意广告重定向器,从中获取点击或观看付费的收入。以下是相关图片展示:
在第二阶段,这些重定向器通过一至两个额外的恶意重定向器,最终将流量导向恶意网站或技术支持诈骗网站,并进一步重定向至GitHub。
恶意软件窃取系统信息,部署多阶段载荷
恶意软件的设计旨在执行系统发现,收集包括内存大小、显卡详情、屏幕分辨率、操作系统和用户路径在内的详细系统信息。在部署第二阶段载荷时,恶意软件还会窃取数据。
第三阶段部署远程访问木马,窃取用户数据
在第三阶段,PowerShell脚本从命令控制服务器下载NetSupport远程访问木马(RAT),并在注册表中建立持久性。恶意软件执行后,还会部署Lumma信息窃取程序和开源Doenerium窃取程序,以窃取用户数据和浏览器凭证。
第四阶段可能释放AutoIt解释器,进一步窃取信息
如果第三阶段载荷是可执行文件,它将创建并运行CMD文件,同时释放一个重命名的AutoIt解释器。AutoIt组件随后启动二进制文件,并可能释放另一个版本的AutoIt解释器。
AutoIt载荷窃取更多信息,甚至可能配置Windows Defender排除路径
AutoIt载荷使用RegAsm或PowerShell打开文件,启用远程浏览器调试,并窃取更多信息。在某些情况下,PowerShell还可能被用于配置Windows Defender的排除路径或释放更多NetSupport载荷。
GitHub、Dropbox和Discord均被用于托管恶意载荷
GitHub是此次活动中托管第一阶段载荷的主要平台,但微软威胁情报团队还观察到Dropbox和Discord上也托管了部分载荷。
“Storm-0408”攻击活动涉及多个威胁行为者
此次攻击活动被命名为“Storm-0408”,涉及多个与远程访问或信息窃取恶意软件相关的威胁行为者。他们通过钓鱼、搜索引擎优化(SEO)或恶意广告活动分发恶意载荷。
请注意,以上内容仅为改写,具体的技术细节和图片链接需要根据实际情况进行调整。