微软最近发布了有关一项大规模恶意运动的紧急警告,该运动影响了全球超过一百万个设备。
该活动由一个被确定为Storm-0408的威胁演员小组精心策划,已利用网络钓鱼,搜索引擎优化(SEO)和恶意广告系列,以分发恶意有效载荷并窃取敏感用户数据。
Microsoft威胁智能团队:“攻击源自嵌入不通le重定向器的非法流网站,导致了一个中介网站,然后将用户重定向到GitHub和其他两个平台。”写在周四的博客文章中。
“这项运动影响了包括消费者和企业设备在内的各种组织和行业,突出了袭击的不加区别的性质。”
攻击的工作方式
恶意广告或恶意广告是一种网络攻击方法,其中黑客将有害代码注入合法的在线广告中以传播恶意软件。
微软的研究人员在2024年12月上旬发现,Storm-0408主要是通过将恶意广告置于非法盗版流媒体网站上的视频中,在那里毫无戒心的访客点击了受感染的广告。
用户单击这些误导性广告中的任何一个,它们就会通过多个中介站点重定向,使他们在诸如Github,Discord和Dropbox等流行平台上进入恶意软件托管存储库。
这些存储库包括恶意有效载荷,在执行后感染具有不同类型的恶意软件的用户设备。
“流媒体网站嵌入了电影范围内的恶意转换重定向器,以从恶意广告平台中产生按观看付费或按点击收入的收入。这些重定向器随后通过一个或两个额外的恶意重定向器将流量路由,最终导致了另一个网站,例如恶意软件或技术支持骗局网站,然后将其重定向到GitHub,” Microsoft补充说。
部署的恶意软件类型
该攻击由高级多阶段恶意软件感染组成。最初的有效载荷充当滴管,它将默默地下载有效载荷的后期阶段,并在受害者机器上执行恶意代码。部署最著名的恶意软件是:
- 窃取者Lum- 偷窃恶意软件,可提取登录凭据,系统详细信息和浏览器数据。
- doenerium(更新版本)- 臭名昭著的InfoStealer的修改版本,进一步增强了攻击者收集敏感信息的能力。
这些恶意软件应变旨在收集敏感的用户信息,例如密码,个人信息,甚至是银行登录凭据。
威胁参与者获得信息后,将其传达给攻击者的指挥和控制服务器(C2)服务器,损害了个人用户和企业。
黑客使用的逃避策略
为了逃避检测,Storm-0408实施了复杂的方法。一种这样的策略涉及在合法的云平台上托管恶意有效载荷,使恶意软件与常规网络流量合并并避免触发安全警报。
此外,威胁参与者还使用了活跃的二进制文件和脚本(LOLBAS),利用powershell.exe,msbuild.exe和regasm.exe等利用居住地的二进制文件和脚本(LOLBAS)进行C2以及C2以及无需加强征用的用户数据和BROWSEREDERTICTION的数据剥夺。
微软的回应和安全措施
为了应对这种巨大的网络威胁,微软采取了几项即时行动,例如删除在Github,Discord和Dropbox上托管的恶意存储库;撤销攻击者使用的12个折衷的数字证书,以签署使其显得合理的恶意软件;并释放技术细节和妥协的指标(IOC),以帮助组织和个人保护其系统免受此类威胁。
如何保护您的设备
鉴于此攻击的规模,强烈建议用户采取积极的步骤来保护其系统。其中包括避免使用信誉良好的防病毒和端点保护工具,避免使用非法流媒体网站和不熟悉的在线广告,监视可能发出数据删除的异常出站连接,并启用多因素身份验证(MFA)以保护凭证盗窃。
你可以参考微软的完整报告有关攻击阶段和使用有效载荷的详细分解。
![21 个最佳韩剧网站:2024 年免费观看韩剧 [英文字幕]](https://webbedxp.com/tech/kourtney/wp-content/uploads/2018/12/Websites-to-download-Korean-Dramas-For-Free.jpg)
