Microsoft 披露了一项大规模恶意广告活动的细节,据估计,该活动已影响全球超过 100 万台设备,据称这是一次旨在窃取敏感信息的机会主义攻击的一部分。
这家科技巨头在 2024 年 12 月初检测到该活动,并在更广泛的 Storm-0408 保护伞下对其进行跟踪,该绰号用于一组已知通过网络钓鱼、搜索引擎优化 (SEO) 或恶意广告分发远程访问或信息窃取恶意软件的威胁行为者。
“攻击起源于嵌入恶意广告重定向器的非法流媒体网站,导致一个中介网站,然后将用户重定向到 GitHub 和其他两个平台,”Microsoft 威胁情报团队说。
“该活动影响了广泛的组织和行业,包括消费者和企业设备,凸显了攻击的不分青红皂白的性质。”
该活动最重要的方面是使用 GitHub 作为提供初始访问有效负载的平台。在至少另外两个孤立的实例中,已发现负载托管在 Discord 和 Dropbox 上。GitHub 存储库已被删除。该公司没有透露有多少这样的存储库被删除。
Microsoft 拥有的代码托管服务充当 dropper 恶意软件的暂存地,该恶意软件负责部署一系列附加程序,如 Lumma Stealer 和 Doenerium,而这些程序又能够收集系统信息。
该攻击还采用了由四到五层组成的复杂重定向链,初始重定向器嵌入在提供盗版内容的非法流媒体网站上的 iframe 元素中。
整个感染序列是一个多阶段过程,涉及系统发现、信息收集以及使用后续有效载荷(如 NetSupport RAT 和 AutoIT 脚本)来促进更多数据盗窃。远程访问木马还充当窃取恶意软件的渠道。
- 第一阶段 - 在目标设备上建立立足点
- 第二阶段 - 系统侦查、收集和外泄以及有效负载交付
- 第三阶段 - 命令执行、有效载荷交付、防御规避、持久性、命令和控制通信和数据泄露
- 第四阶段 - 用于配置 Microsoft Defender 排除项并运行命令以从远程服务器下载数据的 PowerShell 脚本
攻击的另一个特征涉及使用各种 PowerShell 脚本下载 NetSupport RAT,识别已安装的应用程序和安全软件,特别是扫描加密货币钱包的存在,表明潜在的财务数据被盗。
“除了信息窃取程序之外,PowerShell、JavaScript、VBScript 和 AutoIT 脚本还在主机上运行,”Microsoft 表示。“威胁行为者将 PowerShell.exe、MSBuild.exe 和 RegAsm.exe 等离地二进制文件和脚本 (LOLBAS) 的使用用于 C2 以及用户数据和浏览器凭据的数据泄露。”
卡巴斯基披露,伪装成 DeepSeek 和 Grok 人工智能 (AI) 聊天机器人的虚假网站被用来诱骗用户安装以前未记录的 Python 信息窃取程序。
X 上经过验证的帐户(例如,@ColeAddisonTech、@gaurdevang2 和 @saduq5)宣传的以 DeekSeek 为主题的诱饵网站也被用来执行使用 SSH 授予攻击者对计算机的远程访问。
“网络犯罪分子使用各种计划引诱受害者访问恶意资源,”这家俄罗斯网络安全公司表示。通常,指向此类网站的链接是通过信使和社交网络分发的。攻击者还可能使用拼写错误或通过众多联属网络营销计划购买恶意网站的广告流量。
信息来源:https://thehackernews.com/2025/03/microsoft-warns-of-malvertising.html
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局