全球惡意廣告活動被微軟搗毀：GitHub 倉庫成攻擊跳板，近 100 萬設(shè)備受威脅

IT之家 3 月 8 日消息，科技媒體 bleepingcomputer 昨日（3 月 7 日）發(fā)布博文，報道稱微軟成功搗毀了一批用于大規(guī)模投放惡意廣告活動的 GitHub 倉庫，這些活動已影響全球近百萬臺設(shè)備。

微軟威脅分析師于 2024 年 12 月初發(fā)現(xiàn)了這些攻擊，觀察到多臺設(shè)備從 GitHub 倉庫下載惡意軟件，隨后在受感染系統(tǒng)上部署了一系列其他惡意載荷。

微軟隨后發(fā)現(xiàn)此類攻擊共分為 4 個階段，第一階段中，攻擊者將廣告注入非法盜版流媒體網(wǎng)站的視頻中，將潛在受害者重定向至其控制的惡意 GitHub 倉庫。流媒體網(wǎng)站通過電影幀嵌入惡意廣告重定向器，從中獲取按點(diǎn)擊或按觀看付費(fèi)的收入。IT之家附上圖片如下：

這些重定向器通過一至兩個額外的惡意重定向器，最終將流量導(dǎo)向惡意網(wǎng)站或技術(shù)支持詐騙網(wǎng)站，再進(jìn)一步重定向至 GitHub。

惡意軟件設(shè)計用于執(zhí)行系統(tǒng)發(fā)現(xiàn)，收集詳細(xì)系統(tǒng)信息（如內(nèi)存大小、顯卡詳情、屏幕分辨率、操作系統(tǒng)和用戶路徑），并在部署第二階段載荷時竊取數(shù)據(jù)。

第三階段的 PowerShell 腳本從命令控制服務(wù)器下載 NetSupport 遠(yuǎn)程訪問木馬（RAT），并在注冊表中建立持久性。執(zhí)行后，惡意軟件還可部署 Lumma 信息竊取程序和開源 Doenerium 竊取程序，竊取用戶數(shù)據(jù)和瀏覽器憑證。

如果第三階段載荷是可執(zhí)行文件，它會創(chuàng)建并運(yùn)行 CMD 文件，同時釋放一個重命名的 AutoIt 解釋器。AutoIt 組件隨后啟動二進(jìn)制文件，并可能釋放另一個版本的 AutoIt 解釋器。

AutoIt 載荷使用 RegAsm 或 PowerShell 打開文件，啟用遠(yuǎn)程瀏覽器調(diào)試，并竊取更多信息，在某些情況下，PowerShell 還用于配置 Windows Defender 的排除路徑或釋放更多 NetSupport 載荷。

GitHub 是此次活動中托管第一階段載荷的主要平臺，但微軟威脅情報團(tuán)隊還觀察到 Dropbox 和 Discord 上也托管了部分載荷。

此次攻擊活動被命名為“Storm-0408”，涉及多個與遠(yuǎn)程訪問或信息竊取惡意軟件相關(guān)的威脅行為者，他們通過釣魚、搜索引擎優(yōu)化（SEO）或惡意廣告活動分發(fā)惡意載荷。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。