Microsoft警告：全球不變的1M+設備感染1M+設備

微軟最近發布了有關一項大規模惡意運動的緊急警告，該運動影響了全球超過一百萬個設備。

該活動由一個被確定為Storm-0408的威脅演員小組精心策劃，已利用網絡釣魚，搜索引擎優化（SEO）和惡意廣告系列，以分發惡意有效載荷並竊取敏感用戶數據。

Microsoft威脅智能團隊：“攻擊源自嵌入不通le重定向器的非法流網站，導致了一個中介網站，然後將用戶重定向到GitHub和其他兩個平台。”寫在周四的博客文章中。

“這項運動影響了包括消費者和企業設備在內的各種組織和行業，突出了襲擊的不加區別的性質。”

攻擊的工作方式

惡意廣告或惡意廣告是一種網絡攻擊方法，其中黑客將有害代碼注入合法的在線廣告中以傳播惡意軟件。

微軟的研究人員在2024年12月上旬發現，Storm-0408主要是通過將惡意廣告置於非法盜版流媒體網站上的視頻中，在那裡毫無戒心的訪客點擊了受感染的廣告。

用戶單擊這些誤導性廣告中的任何一個，它們就會通過多個中介站點重定向，使他們在諸如Github，Discord和Dropbox等流行平台上進入惡意軟件託管存儲庫。

這些存儲庫包括惡意有效載荷，在執行後感染具有不同類型的惡意軟件的用戶設備。

“流媒體網站嵌入了電影範圍內的惡意轉換重定向器，以從惡意廣告平台中產生按觀看付費或按點擊收入的收入。這些重定向器隨後通過一個或兩個額外的惡意重定向器將流量路由，最終導致了另一個網站，例如惡意軟件或技術支持騙局網站，然後將其重定向到GitHub，” Microsoft補充說。

部署的惡意軟件類型

該攻擊由高級多階段惡意軟件感染組成。最初的有效載荷充當滴管，它將默默地下載有效載荷的後期階段，並在受害者機器上執行惡意代碼。部署最著名的惡意軟件是：

這些惡意軟件應變旨在收集敏感的用戶信息，例如密碼，個人信息，甚至是銀行登錄憑據。

威脅參與者獲得信息後，將其傳達給攻擊者的指揮和控制服務器（C2）服務器，損害了個人用戶和企業。

黑客使用的逃避策略

為了逃避檢測，Storm-0408實施了複雜的方法。一種這樣的策略涉及在合法的雲平台上託管惡意有效載荷，使惡意軟件與常規網絡流量合併並避免觸發安全警報。

此外，威脅參與者還使用了活躍的二進製文件和腳本（LOLBAS），利用powershell.exe，msbuild.exe和regasm.exe等利用居住地的二進製文件和腳本（LOLBAS）進行C2以及C2以及無需加強徵用的用戶數據和BROWSEREDERTICTION的數據剝奪。

微軟的回應和安全措施

為了應對這種巨大的網絡威脅，微軟採取了幾項即時行動，例如刪除在Github，Discord和Dropbox上託管的惡意存儲庫；撤銷攻擊者使用的12個折衷的數字證書，以簽署使其顯得合理的惡意軟件；並釋放技術細節和妥協的指標（IOC），以幫助組織和個人保護其係統免受此類威脅。

如何保護您的設備

鑑於此攻擊的規模，強烈建議用戶採取積極的步驟來保護其係統。其中包括避免使用信譽良好的防病毒和端點保護工具，監視可能發出數據刪除的異常出站連接，並啟用多因素身份驗證（MFA）以保護憑證盜竊的多因素身份驗證（MFA）。

你可以參考微軟的完整報告有關攻擊階段和使用有效載荷的詳細分解。