Microsoft เพิ่งออกคำเตือนอย่างเร่งด่วนเกี่ยวกับแคมเปญ Malvertising ขนาดใหญ่ที่ส่งผลกระทบต่ออุปกรณ์มากกว่าหนึ่งล้านเครื่องทั่วโลก
แคมเปญที่จัดทำโดยกลุ่มนักแสดงภัยคุกคามที่ระบุว่าเป็น Storm-0408 ได้ใช้ประโยชน์จากฟิชชิ่ง, การเพิ่มประสิทธิภาพกลไกค้นหา (SEO) และแคมเปญ malvertising เพื่อแจกจ่าย payloads ที่เป็นอันตรายและขโมยข้อมูลผู้ใช้ที่ละเอียดอ่อน
“ การโจมตีเกิดขึ้นจากเว็บไซต์สตรีมมิ่งที่ผิดกฎหมายที่ฝังอยู่ด้วยการเปลี่ยนเส้นทางแบบ malvertising นำไปสู่เว็บไซต์ตัวกลางที่ผู้ใช้ถูกนำไปยัง GitHub และแพลตฟอร์มอื่น ๆ อีกสองแพลตฟอร์ม” ทีมข่าวกรอง Microsoftเขียนในโพสต์บล็อกในวันพฤหัสบดี
“ การรณรงค์ส่งผลกระทบต่อองค์กรและอุตสาหกรรมที่หลากหลายรวมถึงอุปกรณ์ทั้งผู้บริโภคและองค์กรโดยเน้นถึงธรรมชาติของการโจมตี”
การโจมตีทำงานอย่างไร
Malvertising หรือการโฆษณาที่เป็นอันตรายเป็นวิธีการโจมตีทางไซเบอร์ที่แฮกเกอร์ฉีดรหัสที่เป็นอันตรายลงในโฆษณาออนไลน์ที่ถูกต้องตามกฎหมายเพื่อกระจายมัลแวร์
นักวิจัยของ Microsoft ค้นพบเมื่อต้นเดือนธันวาคม 2567 ว่า Storm-0408 กำลังกำหนดเป้าหมายผู้ใช้เป็นหลักโดยวางโฆษณาที่เป็นอันตรายลงในวิดีโอเกี่ยวกับเว็บไซต์สตรีมการละเมิดลิขสิทธิ์ที่ผิดกฎหมายซึ่งผู้เข้าชมที่ไม่สงสัย
เมื่อผู้ใช้คลิกที่โฆษณาที่ทำให้เข้าใจผิดเหล่านี้พวกเขาจะถูกเปลี่ยนเส้นทางผ่านไซต์ตัวกลางหลายไซต์นำไปสู่ที่เก็บมัลแวร์โฮสต์บนแพลตฟอร์มยอดนิยมเช่น GitHub, Discord และ Dropbox
ที่เก็บเหล่านี้รวมถึงน้ำหนักบรรทุกที่เป็นอันตรายซึ่งอุปกรณ์ของผู้ใช้ที่ติดเชื้อที่มีมัลแวร์ชนิดต่าง ๆ ที่แตกต่างกันเมื่อดำเนินการ
“ เว็บไซต์สตรีมมิ่งที่ฝังตัวแบบ malvertising redirectors ภายในเฟรมภาพยนตร์เพื่อสร้างรายได้ต่อการดูหรือการจ่ายต่อคลิกจากแพลตฟอร์ม Malvertising การเปลี่ยนเส้นทางเหล่านี้จะส่งผ่านการรับส่งข้อมูลผ่านการเปลี่ยนเส้นทางที่เป็นอันตรายเพิ่มเติมหนึ่งหรือสองครั้งในที่สุดนำไปสู่เว็บไซต์อื่นเช่นเว็บไซต์หลอกลวงมัลแวร์หรือการสนับสนุนด้านเทคนิคซึ่งนำไปยัง GitHub” Microsoft กล่าวเสริม
ประเภทของมัลแวร์ที่ปรับใช้
การโจมตีประกอบด้วยการติดเชื้อมัลแวร์หลายขั้นตอนขั้นสูง น้ำหนักบรรทุกเริ่มต้นทำหน้าที่เป็นหยดซึ่งจะดาวน์โหลดขั้นตอนในภายหลังของเพย์โหลดในภายหลังและเรียกใช้รหัสที่เป็นอันตรายลงในเครื่องเหยื่อ ในบรรดามัลแวร์ที่โดดเด่นที่สุดที่นำไปใช้คือ:
- Lum Stealer-มัลแวร์ขโมยข้อมูลที่แยกข้อมูลรับรองล็อกอินรายละเอียดระบบและข้อมูลเบราว์เซอร์
- Doenerium (เวอร์ชันอัปเดต)- เวอร์ชันที่ปรับปรุงใหม่ของ Infostealer ที่น่าอับอายซึ่งช่วยเพิ่มความสามารถของผู้โจมตีในการรวบรวมข้อมูลที่ละเอียดอ่อน
สายพันธุ์มัลแวร์เหล่านี้มีวัตถุประสงค์เพื่อเก็บเกี่ยวข้อมูลผู้ใช้ที่ละเอียดอ่อนเช่นรหัสผ่านข้อมูลส่วนบุคคลและแม้แต่ข้อมูลรับรองการเข้าสู่ระบบของธนาคาร
หลังจากนักแสดงภัยคุกคามได้รับข้อมูลมันได้รับการสื่อสารไปยังเซิร์ฟเวอร์ Command-and-Control (C2) ของผู้โจมตี (C2) ที่ประนีประนอมกับผู้ใช้และธุรกิจแต่ละราย
กลวิธีการหลีกเลี่ยงที่แฮ็กเกอร์ใช้
ในการหลบเลี่ยงการตรวจจับ Storm-0408 ใช้วิธีการที่ซับซ้อน กลยุทธ์หนึ่งที่เกี่ยวข้องกับการโฮสต์ payloads ที่เป็นอันตรายบนแพลตฟอร์มคลาวด์ที่ถูกกฎหมายทำให้มัลแวร์สามารถรวมเข้ากับปริมาณการใช้เครือข่ายปกติและหลีกเลี่ยงการเตือนความปลอดภัย
นอกจากนี้นักแสดงภัยคุกคามยังใช้ไบนารีและสคริปต์ (lolbas) การใช้ชีวิตนอกพื้นที่และสคริปต์ (lolbas) ใช้ประโยชน์จากการใช้ชีวิตและสคริปต์ (lolbas) เช่น powershell.exe, msbuild.exe และ regasm.exe สำหรับ C2
มาตรการตอบสนองและความปลอดภัยของ Microsoft
ในการตอบสนองต่อภัยคุกคามทางไซเบอร์ขนาดใหญ่นี้ Microsoft ได้ดำเนินการหลายอย่างทันทีเช่นการลบที่เก็บที่เป็นอันตรายที่โฮสต์บน GitHub, Discord และ Dropbox; การเพิกถอนใบรับรองดิจิตอลที่ถูกบุกรุก 12 คนที่ผู้โจมตีใช้เพื่อลงนามมัลแวร์ที่ทำให้ถูกต้องตามกฎหมาย และปล่อยรายละเอียดทางเทคนิคและตัวชี้วัดของการประนีประนอม (IOCs) เพื่อช่วยให้องค์กรและบุคคลปกป้องระบบของพวกเขาจากภัยคุกคามดังกล่าว
วิธีปกป้องอุปกรณ์ของคุณ
เมื่อพิจารณาจากการโจมตีครั้งนี้ผู้ใช้จะได้รับคำแนะนำอย่างยิ่งให้ทำตามขั้นตอนเชิงรุกเพื่อรักษาความปลอดภัยระบบของพวกเขา สิ่งเหล่านี้รวมถึงการหลีกเลี่ยงไซต์สตรีมมิ่งที่ผิดกฎหมายและโฆษณาออนไลน์ที่ไม่คุ้นเคยโดยใช้เครื่องมือป้องกันไวรัสที่มีชื่อเสียงและเครื่องมือป้องกันปลายทางการตรวจสอบการเชื่อมต่อขาออกที่ผิดปกติซึ่งอาจส่งสัญญาณการ exfiltration ข้อมูลและเปิดใช้งานการตรวจสอบความถูกต้องแบบหลายปัจจัย (MFA)
คุณสามารถอ้างถึงรายงานฉบับเต็มของ Microsoftสำหรับรายละเอียดรายละเอียดของขั้นตอนการโจมตีและน้ำหนักบรรทุกที่ใช้
