Microsoft warnt: Malvertising infiziert weltweit über 1 Million Geräte

Microsoft hat kürzlich eine dringende Warnung über eine groß angelegte Malvertising-Kampagne herausgegeben, die mehr als eine Million Geräte weltweit betroffen hat.

Die Kampagne, orchestriert von einer Bedrohungsakteurgruppe, die als Storm-0408 identifiziert wurde, hat Phishing, Suchmaschinenoptimierung (SEO) und Malvertising-Kampagnen genutzt, um bösartige Payloads zu verteilen und sensible Benutzerdaten zu stehlen.

„Der Angriff ging von illegalen Streaming-Websites aus, die mit Malvertising-Redirectoren eingebettet waren, was zu einer Zwischenwebsite führte, auf der der Benutzer dann zu GitHub und zwei anderen Plattformen umgeleitet wurde“, schrieb das Microsoft Threat Intelligence-Team in einem Blogbeitrag am Donnerstag.

„Die Kampagne hatte Auswirkungen auf eine Vielzahl von Organisationen und Branchen, einschließlich sowohl Verbraucher- als auch Unternehmensgeräte, was die indiscriminierte Natur des Angriffs hervorhebt.“

Wie der Angriff funktioniert

Malvertising, oder bösartige Werbung, ist eine Methode des Cyberangriffs, bei der Hacker schädlichen Code in legitime Online-Anzeigen injizieren, um Malware zu verbreiten.

Microsoft-Forscher entdeckten Anfang Dezember 2024, dass Storm-0408 Benutzer hauptsächlich anvisierte, indem bösartige Anzeigen in Videos auf illegalen, piratierten Streaming-Websites platziert wurden, auf die ahnungslose Besucher klickten.

Sobald Benutzer auf eine dieser irreführenden Anzeigen klickten, wurden sie über mehrere Zwischenwebsites umgeleitet, die sie zu Malware-hostenden Repositories auf beliebten Plattformen wie GitHub, Discord und Dropbox führten.

Diese Repositories enthielten bösartige Payloads, die die Geräte der Benutzer beim Ausführen mit verschiedenen Arten von Malware infizierten.

„Die Streaming-Websites betteten Malvertising-Redirectoren innerhalb von Filmrahmen ein, um Einnahmen pro Ansicht oder pro Klick von Malvertising-Plattformen zu generieren. Diese Redirectoren leiteten anschließend den Verkehr über ein oder zwei zusätzliche bösartige Redirectoren, was letztendlich zu einer anderen Website führte, wie einer Malware- oder technischen Support-Betrugswebsite, die dann zu GitHub umleitete“, fügte Microsoft hinzu.

Arten von eingesetzter Malware

Der Angriff bestand aus fortgeschrittenen mehrstufigen Malware-Infektionen. Die anfängliche Payload fungierte als Dropper, der stillschweigend spätere Phasen von Payloads herunterlud und bösartigen Code auf dem Opfergerät ausführte. Zu den bemerkenswertesten eingesetzten Malware gehörten:

• Lumma Stealer – Eine informationsstehlende Malware, die Anmeldeinformationen, Systemdetails und Browserdaten extrahiert.
• Doenerium (Aktualisierte Version) – Eine überarbeitete Version eines berüchtigten Infostealers, die die Fähigkeit der Angreifer zur Sammlung sensibler Informationen weiter verbessert.

Diese Malware-Stämme waren darauf ausgelegt, sensible Benutzerinformationen wie Passwörter, persönliche Informationen und sogar Bankanmeldeinformationen zu ernten.

Nachdem die Bedrohungsakteure die Informationen erhalten hatten, wurden sie an die Command-and-Control (C2)-Server der Angreifer übermittelt, was individuelle Benutzer und Unternehmen gefährdete.

Evasionstaktiken der Hacker

Um der Entdeckung zu entgehen, implementierte Storm-0408 ausgeklügelte Methoden. Eine solche Taktik bestand darin, bösartige Payloads auf legitimen Cloud-Plattformen zu hosten, wodurch die Malware mit regulärem Netzwerkverkehr verschmolzen konnte und Sicherheitsalarme vermieden wurden.

Darüber hinaus verwendeten die Bedrohungsakteure Living-off-the-Land-Binaries und -Skripte (LOLBAS), indem sie Living-off-the-Land-Binaries und -Skripte (LOLBAS) wie PowerShell.exe, MSBuild.exe und RegAsm.exe für C2 und Datenexfiltration von Benutzerdaten und Browseranmeldeinformationen ohne Verdacht zu erregen nutzten.

Microsofts Reaktion und Sicherheitsmaßnahmen

Als Reaktion auf diese massive Cyberbedrohung hat Microsoft mehrere sofortige Maßnahmen ergriffen, wie das Entfernen bösartiger Repositories, die auf GitHub, Discord und Dropbox gehostet wurden; das Widerrufen von 12 kompromittierten digitalen Zertifikaten, die von den Angreifern verwendet wurden, um Malware zu signieren, die legitim erschien; und das Veröffentlichen technischer Details und Indikatoren für Kompromittierungen (IoCs), um Organisationen und Einzelpersonen zu helfen, ihre Systeme gegen solche Bedrohungen zu schützen.

Wie Sie Ihre Geräte schützen können

Angesichts des Ausmaßes dieses Angriffs wird den Benutzern dringend geraten, proaktive Schritte zu unternehmen, um ihre Systeme zu sichern. Dazu gehört das Vermeiden illegaler Streaming-Websites und unbekannter Online-Anzeigen, die Verwendung seriöser Antiviren- und Endpunktschutztools, die Überwachung ungewöhnlicher ausgehender Verbindungen, die auf Datenexfiltration hindeuten könnten, und die Aktivierung der Multi-Faktor-Authentifizierung (MFA), um Konten vor Anmeldeinformationsdiebstahl zu schützen.

Sie können den vollständigen Bericht von Microsoft für eine detaillierte Aufschlüsselung der Angriffsphasen und der verwendeten Payloads einsehen.