微軟最近就一場大規模惡意廣告活動發出緊急警告,該活動已影響全球超過一百萬台設備。
該活動由一個名為 Storm-0408 的威脅組織精心策劃,利用網絡釣魚、搜索引擎優化 (SEO) 和惡意廣告活動來分發惡意負載並竊取敏感用戶數據。
微軟威脅情報團隊表示:“這次攻擊源自嵌入惡意廣告重定向器的非法流媒體網站,導致用戶被重定向到中間網站,然後被重定向到 GitHub 和其他兩個平台。”寫了在周四的一篇博客文章中。
“該活動影響了廣泛的組織和行業,包括消費者和企業設備,凸顯了攻擊的不分青紅皂白的性質。”
攻擊如何進行
惡意廣告或惡意廣告是一種網絡攻擊方法,黑客將有害代碼注入合法的在線廣告中以傳播惡意軟件。
微軟研究人員於 2024 年 12 月上旬發現,Storm-0408 主要通過在非法盜版流媒體網站的視頻中放置惡意廣告來瞄準用戶,毫無戒心的訪問者會點擊受感染的廣告。
一旦用戶點擊任何這些誤導性廣告,他們就會通過多個中間網站被重定向,導致他們訪問 GitHub、Discord 和 Dropbox 等流行平台上的惡意軟件託管存儲庫。
這些存儲庫包含惡意有效負載,在執行時會用不同類型的惡意軟件感染用戶的設備。
“流媒體網站在電影幀中嵌入惡意廣告重定向器,以從惡意廣告平台產生按次付費或按點擊付費的收入。這些重定向器隨後通過一兩個額外的惡意重定向器路由流量,最終導致另一個網站,例如惡意軟件或技術支持詐騙網站,然後重定向到 GitHub。”微軟補充道。
部署的惡意軟件類型
該攻擊由高級多階段惡意軟件感染組成。初始有效負載充當釋放器,它會默默地下載有效負載的後續階段並在受害者計算機上執行惡意代碼。部署的最引人注目的惡意軟件包括:
- 魯瑪偷竊者– 一種信息竊取惡意軟件,可提取登錄憑據、系統詳細信息和瀏覽器數據。
- Doenerium(更新版本)– 臭名昭著的信息竊取程序的改進版本,進一步增強了攻擊者收集敏感信息的能力。
這些惡意軟件旨在獲取敏感的用戶信息,例如密碼、個人信息,甚至銀行登錄憑據。
威脅行為者獲得信息後,會將其傳送到攻擊者的命令與控制 (C2) 服務器,從而危及個人用戶和企業的安全。
黑客使用的規避策略
為了逃避檢測,Storm-0408 採用了複雜的方法。其中一種策略涉及在合法的雲平台上託管惡意負載,允許惡意軟件與常規網絡流量合併並避免觸發安全警報。
此外,威脅行為者還使用了離地二進製文件和腳本 (LOLBAS),利用 PowerShell.exe、MSBuild.exe 和 RegAsm.exe 等離地二進製文件和腳本 (LOLBAS) 進行 C2 以及用戶數據和瀏覽器憑據的數據洩露,而不會引起懷疑。
Microsoft 的響應和安全措施
為了應對這一巨大的網絡威脅,微軟立即採取了多項行動,例如刪除託管在 GitHub、Discord 和 Dropbox 上的惡意存儲庫;撤銷攻擊者用來簽署惡意軟件以使其看起來合法的 12 個受損數字證書;發布技術細節和危害指標 (IoC),以幫助組織和個人保護其係統免受此類威脅。
如何保護您的設備
鑑於此次攻擊的規模,強烈建議用戶採取主動措施來保護其係統。其中包括避免非法流媒體網站和不熟悉的在線廣告、使用信譽良好的防病毒和端點保護工具、監控可能表明數據洩露的異常出站連接,以及啟用多重身份驗證 (MFA) 以保護帳戶免遭憑據盜竊。
您可以參考微軟的完整報告了解攻擊階段和所使用的有效負載的詳細分類。
![RKill 下載 2025 [免費]](https://webbedxp.com/tech/kourtney/wp-content/uploads/2024/03/rkill-download-cover.jpg)
