Microsoft сообщает о более чем миллионе зараженных ПК в результате кампании по распространению вредоносного рекламного ПО

Microsoft заявила о выявлении масштабной кампании по распространению вредоносных рекламных объявлений. Целью было широкое использование программы-кражи данных (infostealers). Компания удалила неуточненное количество репозиториев на GitHub в ответ на эту угрозу.

По данным новых исследований специалистов по безопасности Microsoft, более миллиона ПК были заражены программами-кражами данных благодаря крупной кампании мальвертизинга. Кампания начинается с нелегальных стриминговых сайтов, где люди могут просматривать пиратский контент.

Предположительно, киберпреступники внедрили рекламу в эти видео, которая направляла посетителей через цепочку редиректов на один из множества GitHub репозиториев под контролем атакующих. Там пользователи скачивали первое зловредное ПО (payload), которое выполняло системный анализ, собирая информацию об операционной системе, разрешении экрана, объеме памяти и т.д., передавало ее на сервер под контролем атакующих и затем запускало вторую стадию зловредного ПО.

Вторая стадия зависит от зараженного устройства. В некоторых случаях это будет NetSupport удалённый доступ троян (RAT), а затем Lumma Stealer или Doenerium infostealer. Это вредоносное программное обеспечение способно кража учетных данных, информации о криптовалютах, банковских данных и другого конфиденциального содержимого.

В других случаях мальварь скачивает исполняемый файл, который запускает команды CMD и размещает переименованный интерпретатор AutoIt с расширением .com. AutoIt выполняет несколько дополнительных шагов, которые в конечном итоге приводят к тому же результату — выведению из системы чувствительных файлов.

В большинстве случаев зловредные ПО размещались на GitHub, и Microsoft удалила неуточненное количество репозиториев. Однако вредоносное программное обеспечение также было размещено на Dropbox и Discord. Компания не связала кампанию с каким-либо конкретным преступником и отметила, что жертвы были обнаружены во множестве различных отраслей.

"Эта активность отслеживается под общим названием Storm-0408, который мы используем для контроля за несколькими злоумышленниками, связанными с удалённым доступом или кражей информации и которые используют фишинговые атаки, оптимизацию поисковых систем (SEO) или мальвертизинг для распространения зловредных данных", — заявила Microsoft.

"Кампания затронула широкий спектр организаций и отраслей, включая как устройства потребителей, так и корпоративные системы, подчеркивая беспрецедентный характер атаки."