微软捣毁全球恶意广告活动：GitHub 仓库成攻击跳板，近 100 万设备受威胁

据 IT之家 3 月 8 日报道，科技媒体 bleepingcomputer 于 3 月 7 日发文称，微软成功关闭了一批在 GitHub 上用于大规模恶意广告活动的仓库，这些活动波及全球近百万台设备。

微软的威胁分析师在2024年12月初检测到了这些攻击，注意到多台设备从 GitHub 仓库下载了恶意软件，并随后在这些受感染的系统上部署了众多其他恶意载荷。

微软指出，这些攻击可以分为四个阶段。在第一阶段，攻击者通过在非法盗版流媒体网站的视频中注入广告，将潜在受害者引导至其控制的恶意 GitHub 仓库。这些流媒体网站使用电影帧嵌入恶意广告重定向器，以按点击或按观看付费的方式获取收入。

这些重定向器通过一个或两个额外的恶意重定向器，将流量进一步导向恶意网站或技术支持诈骗网站，最终重定向至 GitHub。

该恶意软件设计用于进行系统信息收集，收集详细的设备信息（例如内存大小、显卡信息、屏幕分辨率、操作系统路径等），并在实施第二阶段载荷时进行数据窃取。

在第三阶段，PowerShell 脚本会从命令控制服务器下载 NetSupport 远程访问木马（RAT），并在注册表中建立持久性。执行后，该恶意软件还可能部署 Lumma 信息窃取程序及开源 Doenerium 窃取程序，以窃取用户数据和浏览器凭证。

如果第三阶段的载荷为可执行文件，它将创建并运行 CMD 文件，同时释放一个被重命名的 AutoIt 解释器。AutoIt 组件将随后启动二进制文件，并可能释放另一个版本的 AutoIt 解释器。

AutoIt 载荷使用 RegAsm 或 PowerShell 打开文件，启用远程浏览器调试，并进行更多信息的窃取。在某些情形下，PowerShell 还被用来配置 Windows Defender 的排除路径或释放额外的 NetSupport 载荷。

GitHub 是此次活动中承载第一阶段载荷的主要平台，但微软的威胁情报团队还注意到 Dropbox 和 Discord 也承载了部分载荷。

此次攻击活动被称为“Storm-0408”，涉及多个与远程访问或信息窃取恶意软件相关的威胁行为者，他们通过钓鱼、搜索引擎优化（SEO）或恶意广告活动来传播恶意载荷。

广告声明：文中提到的外部链接（包括超链接、二维码、口令等），供读者获取更多信息，仅供参考。