Aveți grijă dacă vizitați site -uri web schițate
Pe scurt: Dacă veți vizita site -uri web care găzduiesc fluxuri video piratate, ar fi bine să fiți dispus să acceptați riscurile. Este posibil ca proprietarii de un milion de dispozitive afectate de o campanie malware provenită din aceste site -uri, s -ar putea să nu fi luat în considerare.
Microsoft scrie că echipa sa de analiză a amenințărilor a detectat o campanie de malvertising pe scară largă care a afectat aproape un milion de dispozitive la nivel mondial în decembrie 2024.
Compania a urmărit atacul înapoi la două site -uri web ilegale de streaming – Filme7 și 0123Movie – încorporate cu redirectoare de malvertising. Atacatorii au injectat anunțurile în videoclipuri pe care le -au găzduit site -urile. Acestea au generat venituri de plată pe viziune sau de plată pe clic din platforme malvertising și, ulterior, au dirijat traficul printr-una sau două redirectoare malificate suplimentare.
În cele din urmă, victimele au fost conduse la un alt site web, cum ar fi site -ul web al înșelătoriei de asistență tehnologică, care apoi s -a redirecționat către Github.
Depozitele Github, care de atunci au fost eliminate, au stocat malware -ul folosit pentru a implementa fișiere și scripturi rău intenționate. Odată ce cineva a descărcat malware-ul, a fost folosit pentru a colecta informații despre sistem și a implementa sarcini utile în etapa a doua pentru a exfiltra documentele și datele.
O sarcină utilă a scriptului PowerShell din a treia etapă a descărcat apoi Netsupport Remote Access Trojan (RAT) de pe un server de comandă și control și a stabilit persistența în registru. Șobolanul ar putea livra malware -ul Lumma Information Stealer sau o versiune actualizată a Doenerium Infostealer.
De asemenea, malware -ul a permis atacatorilor să spioneze A asupra activității de navigare a victimelor și chiar să interacționeze cu un browser activ, inclusiv Firefox, Chrome și Edge.
Sarcinile utile din prima etapă au fost semnate digital cu un certificat nou creat și au inclus câteva fișiere legitime pentru a-și ascunde adevărata natură. Au fost identificate în total douăsprezece certificate diferite, toate fiind ulterior revocate.
În timp ce GitHub a fost platforma principală folosită la livrarea acestor sarcini utile, Microsoft a găsit, de asemenea, o sarcină utilă găzduită pe Discord și alta pe Dropbox. Ca și în cazul GitHub, paginile care au găzduit malware -ul pe aceste platforme au fost eliminate.
Microsoft scrie că campania a fost nediscriminată în natură, afectând atât dispozitivele pentru consumatori, cât și cele de întreprindere. De asemenea, observă că software -ul Microsoft Defender al Windows este capabil să detecteze și să semnalizeze malware -ul utilizat în atac.
