2025-03-08 14:01
据科技媒体BleepingComputer报道,微软成功捣毁了一批用于大规模投放恶意广告的GitHub仓库,这些活动已影响全球近百万台设备。微软威胁分析师于2024年12月初首次发现这些攻击,观察到多台设备从GitHub仓库下载恶意软件,并在受感染系统上部署一系列其他恶意载荷。
此次攻击分为四个阶段。第一阶段中,攻击者通过非法盗版流媒体网站的视频注入广告,将潜在受害者重定向至其控制的恶意GitHub仓库。这些网站通过电影帧嵌入恶意广告重定向器,从中获取按点击或观看付费的收入。重定向器最终将流量导向恶意网站或技术支持诈骗网站,进一步重定向至GitHub。
第二阶段中,恶意软件执行系统发现,收集详细系统信息并窃取数据。第三阶段使用PowerShell脚本下载NetSupport远程访问木马(RAT),并在注册表中建立持久性。此外,还部署了Lumma和Doenerium窃取程序,窃取用户数据和浏览器凭证。
第四阶段涉及AutoIt解释器,打开文件并启用远程浏览器调试,甚至配置Windows Defender的排除路径。GitHub是主要托管平台,但Dropbox和Discord也托管了部分载荷。此次攻击被命名为“Storm-0408”,涉及多个与远程访问或信息窃取恶意软件相关的威胁行为者,通过钓鱼、SEO或恶意广告分发恶意载荷。
扫一扫关注微信