Microsoft предупреждает: Мальвертайзинг заражает более 1 миллиона устройств по всему миру

Microsoft недавно выпустила срочное предупреждение о крупномасштабной кампании мальвертайзинга, которая затронула более одного миллиона устройств по всему миру.

Кампания, организованная группой злоумышленников, идентифицированной как Storm-0408, использовала фишинг, оптимизацию поисковых систем (SEO) и кампании мальвертайзинга для распространения вредоносных программ и кражи конфиденциальных данных пользователей.

“Атака исходила с незаконных сайтов потокового вещания, встроенных с редиректорами мальвертайзинга, что приводило на промежуточный сайт, откуда пользователь затем перенаправлялся на GitHub и две другие платформы,” - написала команда Microsoft Threat Intelligence в блоге в четверг.

“Кампания затронула широкий спектр организаций и отраслей, включая как потребительские, так и корпоративные устройства, подчеркивая недискриминационный характер атаки.”

Как работает атака

Мальвертайзинг, или вредоносная реклама, - это метод кибератаки, при котором хакеры внедряют вредоносный код в легитимные онлайн-рекламы для распространения вредоносного ПО.

Исследователи Microsoft обнаружили в начале декабря 2024 года, что Storm-0408 нацеливалась на пользователей, в основном размещая вредоносные объявления в видео на незаконных пиратских потоковых сайтах, где ничего не подозревающие посетители кликали на зараженные объявления.

Как только пользователи кликали на любое из этих вводящих в заблуждение объявлений, они перенаправлялись через несколько промежуточных сайтов, что в конечном итоге приводило их к репозиториям с вредоносным ПО на популярных платформах, таких как GitHub, Discord и Dropbox.

Эти репозитории содержали вредоносные программы, которые заражали устройства пользователей различными типами вредоносного ПО при выполнении.

“Потоковые сайты встроили редиректоры мальвертайзинга в кадры фильмов, чтобы генерировать доход от платного просмотра или платного клика с платформ мальвертайзинга. Эти редиректоры затем перенаправляли трафик через один или два дополнительных вредоносных редиректора, в конечном итоге приводя к другому сайту, такому как сайт с вредоносным ПО или сайт мошенничества с технической поддержкой, который затем перенаправлял на GitHub,” - добавила Microsoft.

Типы развернутого вредоносного ПО

Атака состояла из сложных многоступенчатых инфекций вредоносным ПО. Начальная загрузка действовала как дроппер, который тихо загружал последующие стадии загрузок и выполнял вредоносный код на машине жертвы. Среди наиболее заметных развернутых вредоносных программ были:

• Lumma Stealer – Вредоносное ПО для кражи информации, которое извлекает учетные данные для входа, системные данные и данные браузера.
• Doenerium (обновленная версия) – Обновленная версия печально известного инфостилера, которая дополнительно усиливает способность злоумышленников собирать конфиденциальную информацию.

Эти штаммы вредоносного ПО были предназначены для сбора конфиденциальной информации пользователей, такой как пароли, личные данные и даже учетные данные для входа в банк.

После того как злоумышленники получили информацию, она передавалась на серверы командования и управления (C2) атакующих, компрометируя отдельных пользователей и бизнес.

Тактики уклонения, используемые хакерами

Чтобы избежать обнаружения, Storm-0408 внедрила сложные методы. Одна из таких тактик заключалась в размещении вредоносных загрузок на легитимных облачных платформах, что позволяло вредоносному ПО сливаться с обычным сетевым трафиком и избегать срабатывания сигналов безопасности.

Кроме того, злоумышленники использовали бинарные файлы и скрипты, работающие на месте (LOLBAS), используя такие бинарные файлы и скрипты, как PowerShell.exe, MSBuild.exe и RegAsm.exe для C2 и эксфильтрации данных пользователей и учетных данных браузера без повышения подозрений.

Ответ Microsoft и меры безопасности

В ответ на эту массовую киберугрозу Microsoft предприняла несколько немедленных действий, таких как удаление вредоносных репозиториев, размещенных на GitHub, Discord и Dropbox; аннулирование 12 скомпрометированных цифровых сертификатов, используемых злоумышленниками для подписания вредоносного ПО, что делало его легитимным; и публикация технических деталей и индикаторов компрометации (IoCs), чтобы помочь организациям и отдельным лицам защитить свои системы от таких угроз.

Как защитить свои устройства

Учитывая масштаб этой атаки, пользователям настоятельно рекомендуется предпринять проактивные шаги для защиты своих систем. К ним относятся избегание незаконных сайтов потокового вещания и незнакомых онлайн-реклам, использование надежных антивирусных и средств защиты конечных точек, мониторинг необычных исходящих соединений, которые могут сигнализировать о эксфильтрации данных, и включение многофакторной аутентификации (MFA) для защиты учетных записей от кражи учетных данных.

Вы можете обратиться к полному отчету Microsoft для подробного разбора этапов атаки и используемых загрузок.