近期,科技界傳來消息,微軟成功阻止了針對全球近百萬臺(tái)設(shè)備的惡意廣告活動(dòng)。這一行動(dòng)揭露并搗毀了一批位于GitHub的倉庫,這些倉庫被用作大規(guī)模投放惡意軟件的基地。
據(jù)微軟威脅分析師透露,他們在去年12月初首次發(fā)現(xiàn)了這一系列攻擊。當(dāng)時(shí),多臺(tái)設(shè)備從GitHub倉庫下載了惡意軟件,并在隨后的操作中部署了一系列其他惡意載荷。這一發(fā)現(xiàn)引起了微軟的高度重視,并立即展開了深入調(diào)查。
調(diào)查結(jié)果顯示,這些攻擊活動(dòng)并非一蹴而就,而是精心設(shè)計(jì)的多階段攻擊。在第一階段,攻擊者利用非法盜版流媒體網(wǎng)站作為跳板,將惡意廣告注入到網(wǎng)站的視頻中。這些廣告通過嵌入在電影幀中的重定向器,將潛在受害者引導(dǎo)至攻擊者控制的惡意GitHub倉庫。這些重定向器還會(huì)經(jīng)過一至兩個(gè)額外的惡意站點(diǎn),最終將流量導(dǎo)向惡意網(wǎng)站或技術(shù)支持詐騙網(wǎng)站,并進(jìn)一步鏈接回GitHub。
惡意軟件一旦進(jìn)入受害者的系統(tǒng),便開始執(zhí)行系統(tǒng)發(fā)現(xiàn)任務(wù),收集詳細(xì)的系統(tǒng)信息,如內(nèi)存大小、顯卡詳情、屏幕分辨率、操作系統(tǒng)版本以及用戶路徑等。這些信息為攻擊者提供了寶貴的情報(bào),有助于他們在第二階段部署更加精準(zhǔn)的惡意載荷。
進(jìn)入第三階段,攻擊者通過PowerShell腳本從命令控制服務(wù)器下載NetSupport遠(yuǎn)程訪問木馬(RAT),并在受害者的注冊表中建立持久性。這一步驟完成后,惡意軟件還會(huì)部署Lumma信息竊取程序和開源的Doenerium竊取程序,進(jìn)一步竊取用戶數(shù)據(jù)和瀏覽器憑證。這些敏感信息的泄露,對受害者的隱私和安全構(gòu)成了嚴(yán)重威脅。
如果第三階段的載荷是可執(zhí)行文件,它會(huì)創(chuàng)建一個(gè)CMD文件并運(yùn)行,同時(shí)釋放一個(gè)經(jīng)過重命名的AutoIt解釋器。這個(gè)解釋器隨后啟動(dòng)二進(jìn)制文件,并可能釋放另一個(gè)版本的AutoIt解釋器。通過這些復(fù)雜的操作,攻擊者能夠利用AutoIt載荷打開文件、啟用遠(yuǎn)程瀏覽器調(diào)試,并竊取更多信息。在某些情況下,攻擊者還會(huì)使用PowerShell配置Windows Defender的排除路徑,或釋放更多的NetSupport載荷。
除了GitHub外,微軟威脅情報(bào)團(tuán)隊(duì)還發(fā)現(xiàn),Dropbox和Discord等平臺(tái)上也托管了部分惡意載荷。這些平臺(tái)成為了攻擊者分散風(fēng)險(xiǎn)、擴(kuò)大攻擊范圍的重要工具。然而,得益于微軟的及時(shí)干預(yù)和精準(zhǔn)打擊,這些惡意活動(dòng)最終被成功遏制。
此次事件再次提醒我們,網(wǎng)絡(luò)安全形勢依然嚴(yán)峻復(fù)雜,必須時(shí)刻保持警惕。企業(yè)和個(gè)人用戶應(yīng)加強(qiáng)安全防護(hù)措施,定期更新系統(tǒng)和軟件補(bǔ)丁,避免訪問非法或可疑的網(wǎng)站和服務(wù)。同時(shí),網(wǎng)絡(luò)安全廠商也應(yīng)加強(qiáng)技術(shù)研發(fā)和情報(bào)共享,共同應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)安全威脅。
GitHub等平臺(tái)也應(yīng)加強(qiáng)對倉庫內(nèi)容的審核和管理,防止其成為惡意軟件傳播的渠道。只有各方共同努力,才能構(gòu)建一個(gè)更加安全、可靠的網(wǎng)絡(luò)環(huán)境。
最后,對于廣大用戶而言,提高網(wǎng)絡(luò)安全意識(shí)至關(guān)重要。在享受網(wǎng)絡(luò)帶來的便利的同時(shí),也要時(shí)刻關(guān)注自己的隱私和安全狀況。只有這樣,我們才能在數(shù)字化時(shí)代中安心前行。
