Złośliwe Reklamy na Nielegalnych Stronach Streamingowych Zainfekowały 1 Milion Komputerów, Ostrzega Microsoft

Microsoft zamknął wiele repozytoriów GitHub, które były wykorzystywane w skali światowej w dużym rozprzestrzenianiu się złośliwego oprogramowania, wpływającym na prawie milion urządzeń na całym świecie.

Firma odkryła atak w grudniu 2024 roku, kiedy jej zespół do spraw wywiadu zagrożeń zauważył, że z GitHuba na urządzenia użytkowników pobierane jest złośliwe oprogramowanie.

Zgodnie z analizą Microsoftu, cyberprzestępcy umieścili złośliwe reklamy wewnątrz filmów na nielegalnych stronach do strumieniowania. Te reklamy przekierowywały niczego nieświadomych użytkowników na stronę GitHub, gdzie na ich systemy pobierany był w tajemnicy złośliwy oprogramowanie.

Po zainstalowaniu, malware wdrażał dodatkowe szkodliwe programy zaprojektowane do kradzieży osobistych informacji, naruszenia bezpieczeństwa, oraz pozwalał atakującym utrzymać kontrolę nad zainfekowanymi urządzeniami.

Analiza Microsoftu ujawniła, że kampania była bardzo dobrze zorganizowana, wykorzystując wiele etapów do rozpowszechniania złośliwego oprogramowania. Pierwszym krokiem było zwabienie użytkowników na GitHub, Discord lub Dropbox, gdzie hostowano malware.

Po pobraniu, złośliwe oprogramowanie zbierało dane o zainfekowanym systemie, w tym rozmiar pamięci, szczegóły systemu operacyjnego i informacje o użytkowniku. Napastnicy wykorzystali następnie te dane do wdrożenia jeszcze bardziej szkodliwych programów, w tym złośliwego oprogramowania kradnącego informacje, takiego jak Lumma Stealer i Doenerium.

W niektórych przypadkach zainstalowano również narzędzie do zdalnego monitorowania o nazwie NetSupport, co pozwalało atakującym na zdalne sterowanie zainfekowanymi urządzeniami. Kampania, śledzona przez Microsoft pod nazwą Storm-0408, została zaprojektowana tak, aby była trudna do wykrycia. Atakujący używali legalnych narzędzi, takich jak PowerShell i JavaScript, aby zblendować się z normalnymi operacjami systemowymi.

Wprowadzili również techniki utrzymania trwałości, takie jak modyfikowanie ustawień rejestru i dodawanie skrótów startowych, aby zapewnić, że złośliwe oprogramowanie pozostawało na zainfekowanych urządzeniach nawet po restarcie.

Microsoft współpracował z zespołem ds. bezpieczeństwa GitHuba, aby usunąć szkodliwe repozytoria, zapobiegając dalszym infekcjom. Niemniej jednak, firma ostrzegła, że podobne ataki mogą zdarzyć się w przyszłości. Zachęcała użytkowników do ostrożności podczas odwiedzania nielegalnych stron streamingowych oraz do aktualizacji swojego oprogramowania i zabezpieczeń.

Wpis na blogu dostarczył również szczegółów technicznych dla profesjonalistów ds. cyberbezpieczeństwa, w tym sposoby wykrywania oznak infekcji oraz zapobiegania podobnym zagrożeniom.

Microsoft podkreślił konieczność utrzymania przez organizacje czujności wobec ewoluujących zagrożeń cybernetycznych, szczególnie tych, które wykorzystują zaufane platformy, takie jak GitHub, do rozprzestrzeniania złośliwego oprogramowania.