Microsoft: Вредоносная атака заразила миллион Windows ПК через пиратские сайты и репозитории на GitHub

Microsoft прекратила работу с большим количеством репозиториев на GitHub, использовавшихся в масштабной кампании вредоносной рекламы, другими словами малвертайзинга, которая затронула почти один миллион устройств по всему миру.

Малвертайзингом (Malvertising) называют использование онлайн-рекламы для распространения вредоносного ПО. Злоумышленники заражают рекламные объявления или внедряют вредоносные скрипты в баннеры, которые затем размещаются на популярных сайтах. При клике на такие объявления пользователи могут быть перенаправлены на зараженные сайты, где их устройства инфицируются вирусами, троянами или другими видами вредоносного ПО.

Аналитики по кибербезопасности обнаружили эти атаки в начале декабря 2024 года, когда заметили, что множество устройств загружали вредоносное ПО из репозиториев GitHub. Это ПО впоследствии использовалось для развертывания ряда других полезных нагрузок на скомпрометированных системах.

После анализа кампании выяснилось, что злоумышленники внедряли рекламу в видеоролики на нелегальных пиратских стриминговых сайтах. Реклама перенаправляла потенциальных жертв на вредоносные репозитории GitHub, находящиеся под их контролем.

Microsoft пояснила:

Стриминговые сайты внедряли инструменты перенаправления малвертайзинга прямо в кадры фильмов для получения дохода по модели оплаты за просмотр или за клик с платформ малвертайзинга.

Эти редиректоры затем перенаправляли трафик через один или два дополнительных вредоносных редиректора, в конечном итоге ведущих на другой сайт — например, на сайт с вредоносным ПО или мошеннической техподдержкой, который затем перенаправлял на GitHub.

Видеоролики с малвертайзингом перенаправляли пользователей на репозитории GitHub, которые заражали их вредоносным ПО, предназначенным для обнаружения информации о системе, сбора подробных данных (например, объема памяти, характеристик графики, разрешения экрана, ОС и путей пользователей) и эксфильтрации собранных данных, одновременно разворачивая вторичные полезные нагрузки.

Этапы масштабной вредоносной рекламной кампании (Microsoft)

На третьем этапе атаки скриптовая нагрузка PowerShell загружала троян NetSupport для удаленного доступа (RAT) с C2-сервера, а также обеспечивала его устойчивость в реестре. После активации вредоносное ПО могло также развернуть зловред Lumma и инфостилер с открытым исходным кодом Doenerium, предназначенные для кражи данных пользователей и учетных данных браузера.

С другой стороны, если нагрузка третьего этапа представляет собой исполняемый файл, она создает и запускает CMD-файл, при этом сбрасывая переименованный интерпретатор AutoIt с расширением .com. Этот компонент AutoIt затем запускает бинарный файл и может сбросить другую версию интерпретатора AutoIt с расширением .scr. Также разворачивается JavaScript-файл для помощи в выполнении и обеспечении устойчивости файлов .scr.

На заключительном этапе атаки полезные нагрузки AutoIt используют RegAsm или PowerShell для открытия файлов, активации удаленной отладки браузера и эксфильтрации дополнительной информации. В некоторых случаях PowerShell также используется для настройки исключений в Windows Defender или для сброса дополнительных нагрузок NetSupport.

Хотя GitHub был основной платформой для размещения полезных нагрузок, доставляемых на первом этапе кампании, специалисты Microsoft Threat Intelligence также зафиксировали наличие нагрузок, размещенных на Dropbox и Discord.

Microsoft заявила:

Данная активность отслеживается под общим названием Storm-0408, которое мы используем для мониторинга множества кибергруппировок, связанных с вредоносным ПО для удаленного доступа или кражи информации, и применяющих фишинг, поисковую оптимизацию (SEO) или кампании малвертайзинга для распространения своих нагрузок.

Кампания затронула широкий спектр организаций и отраслей, включая как потребительские, так и корпоративные устройства, что подчеркивает ее хаотичный характер.

Отчет Microsoft предоставляет более детальную информацию о различных этапах атак и нагрузках, используемых в многоступенчатой цепочке этой сложной кампании малвертайзинга.