微软称 GitHub 存储库的恶意广告活动影响了全球 100 万台电脑

微软已经关闭了未公开数量的 GitHub 存储库，这些存储库被用于大规模的恶意广告活动中，影响了全世界近一百万台设备。

微软的威胁分析师在 2024 年 12 月初发现了这些攻击活动，当时他们观察到多个设备从 GitHub 存储库下载了恶意软件，这些恶意软件随后被用来在受损系统上部署各种其他有效载荷。

分析活动后，他们发现攻击者为了获取经济利益在非法的盗版流媒体网站的视频中注入了广告，这些广告会将潜在受害者重定向到攻击者控制的恶意的 GitHub 存储库 。

微软今天解释说：“流媒体网站在电影框架中嵌入了恶意广告重定向器，以从恶意广告平台生成按次观看或按点击付费的收入。这些重定向器随后通过一两个额外的恶意重定向器路由流量，最终到达另一个网站，例如恶意软件或技术支持诈骗网站，然后再重定向到 GitHub。”

恶意广告视频将用户重定向到 GitHub 存储库，这些存储库会感染恶意软件，这些恶意软件旨在进行系统发现、收集详细的系统信息（例如内存大小、图形细节、屏幕分辨率、操作系统和用户路径），并在收集数据的同时部署额外的有效载荷。

第三阶段的有效载荷是一个 PowerShell 脚本，它会从命令和控制服务器下载 NetSupport 远程访问木马病毒，并在注册表中为其建立持久性机制。一旦执行，该恶意软件还可以部署 Lumma 信息窃取器和开源的 Doenerium 信息窃取器，以窃取用户数据和浏览器凭证。

另一方面，如果第三阶段的有效载荷是一个可执行文件，它会创建并运行一个 CMD 文件，同时丢弃一个带有 .com 扩展名的重命名的 AutoIt 解释器。这个 AutoIt 组件随后会启动二进制文件，并可能丢弃另一个带有 .scr 扩展名的 AutoIt 解释器。同时，还会部署一个 JavaScript 文件，以帮助执行 .scr 文件并为其建立持久性机制。

在攻击的最后阶段，AutoIt 有效载荷使用 RegAsm 或 PowerShell 打开文件、启用远程浏览器调试，并窃取额外的信息。在某些情况下，PowerShell 还被用来配置 Windows Defender 的排除路径，或者丢弃更多 NetSupport 有效载荷。

虽然 GitHub 是第一阶段有效载荷的主要托管平台，但微软威胁情报中心还观察到 Dropbox 和 Discord 上托管的有效载荷。

微软表示：“此活动被跟踪在名为 Storm – 0408 的行动之下，我们用它来跟踪众多与远程访问或信息窃取恶意软件相关的威胁行为者，这些行为者还使用网络钓鱼、搜索引擎优化（SEO）或恶意广告活动来分发恶意有效载荷。”

“这次活动影响了各种组织和行业，包括消费者和企业设备，突显了攻击的无差别性质。”

微软的报告提供了有关此次复杂的恶意广告活动中各个攻击阶段以及使用的有效载荷的更多详细信息。

消息来源：Bleeping Computer；

本文由 HackerNews.cc 翻译整理，封面来源于网络；