IT之家 3 月 8 日消息，科技媒體 bleepingcomputer 昨日（3 月 7 日）發布博文，報道稱微軟成功搗毀了一批用于大規模投放惡意廣告活動的 GitHub 倉庫，這些活動已影響全球近百萬臺設備。

微軟(ruan)(ruan)威(wei)脅分(fen)析師于 2024 年 12 月初(chu)發現了(le)這些(xie)攻擊，觀察到多(duo)臺設備從 GitHub 倉庫(ku)下載(zai)惡意(yi)軟(ruan)(ruan)件，隨(sui)后在(zai)受感染系(xi)統上(shang)部署(shu)了(le)一系(xi)列其他(ta)惡意(yi)載(zai)荷。

微軟隨后發現此類攻擊(ji)共分為 4 個階段(duan)，第一(yi)階段(duan)中(zhong)，攻擊(ji)者將(jiang)廣(guang)告注入(ru)(ru)非(fei)法(fa)盜版流媒體(ti)網站的視(shi)頻中(zhong)，將(jiang)潛在受害者重(zhong)定(ding)向至其控制的惡意 GitHub 倉庫。流媒體(ti)網站通(tong)過電(dian)影幀嵌入(ru)(ru)惡意廣(guang)告重(zhong)定(ding)向器，從(cong)中(zhong)獲取按點擊(ji)或按觀看付費(fei)的收入(ru)(ru)。IT之家附(fu)上圖片如(ru)下：

這些重定向(xiang)器(qi)通過一至兩(liang)個額外的惡(e)意重定向(xiang)器(qi)，最終將流量導向(xiang)惡(e)意網站(zhan)(zhan)或技術(shu)支持詐騙網站(zhan)(zhan)，再(zai)進一步重定向(xiang)至 GitHub。

惡意軟(ruan)件設計用于執行系(xi)統發現(xian)，收集詳細(xi)系(xi)統信(xin)息(xi)（如(ru)內存大小、顯卡詳情、屏(ping)幕(mu)分(fen)辨率、操作系(xi)統和(he)用戶路(lu)徑），并在(zai)部署第二(er)階段載荷(he)時竊取數據。

第三階段的 PowerShell 腳本從命令控(kong)制服務(wu)器(qi)(qi)下載(zai) NetSupport 遠程訪(fang)問木(mu)馬（RAT），并在注冊表(biao)中建(jian)立持久性。執行后，惡意軟件還可部署 Lumma 信息竊(qie)取程序(xu)和(he)開源 Doenerium 竊(qie)取程序(xu)，竊(qie)取用戶數(shu)據(ju)和(he)瀏覽(lan)器(qi)(qi)憑證(zheng)。

如果第三階(jie)段(duan)載(zai)荷是(shi)可執行(xing)文(wen)(wen)件(jian)，它會創(chuang)建并運行(xing) CMD 文(wen)(wen)件(jian)，同時釋放一(yi)個重(zhong)命名的 AutoIt 解(jie)釋器。AutoIt 組件(jian)隨后啟動二進制文(wen)(wen)件(jian)，并可能(neng)釋放另一(yi)個版本(ben)的 AutoIt 解(jie)釋器。

AutoIt 載(zai)荷使用(yong) RegAsm 或(huo) PowerShell 打(da)開文件，啟用(yong)遠(yuan)程瀏(liu)覽器調(diao)試(shi)，并竊取更多信息，在某些(xie)情況下，PowerShell 還用(yong)于(yu)配(pei)置(zhi) Windows Defender 的排除(chu)路徑或(huo)釋放更多 NetSupport 載(zai)荷。

GitHub 是此次活動中托管第一階段載(zai)(zai)荷(he)的主要平臺，但微軟威(wei)脅情報團隊還(huan)觀察到 Dropbox 和 Discord 上也托管了(le)部(bu)分載(zai)(zai)荷(he)。

此次攻擊活動被命名為(wei)“Storm-0408”，涉(she)及多個(ge)與(yu)遠程訪(fang)問或信息(xi)竊取惡(e)意(yi)軟件相關的威脅行為(wei)者，他(ta)們(men)通(tong)過(guo)釣魚、搜索引擎優(you)化（SEO）或惡(e)意(yi)廣(guang)告活動分發惡(e)意(yi)載荷。

廣告聲明：文內(nei)含有(you)(you)的對外跳轉鏈接(jie)（包括不限于超(chao)鏈接(jie)、二維碼、口令等形式），用(yong)于傳(chuan)遞更多信息(xi)，節省甄(zhen)選時(shi)間，結果(guo)僅(jin)供參考，IT之家所有(you)(you)文章均包含本(ben)聲明。