Вредоносная реклама на нелегальных стриминговых сайтах заразила 1 миллион компьютеров, предупреждает Microsoft

Microsoft закрыла несколько репозиториев GitHub, которые использовались в масштабной рекламной кампании, затронувшей почти миллион устройств по всему миру.

Компания обнаружила атаку в декабре 2024 года, когда ее команда по обнаружению угроз заметила, что с GitHub на устройства пользователей загружается вредоносное ПО.

Согласно анализу Microsoft, киберпреступники внедрили вредоносные рекламные объявления в видеоролики на нелегальных стриминговых сайтах. Эти объявления перенаправляли ничего не подозревающих пользователей на GitHub, где на их системы втайне загружался вредоносный код.

После установки вредоносное ПО развертывало дополнительные вредные программы, предназначенные для кражи личной информации, нарушения безопасности и позволяющие злоумышленникам сохранять контроль над зараженными устройствами.

Анализ Microsoft показал, что кампания была высоко организована и использовала несколько этапов для распространения вредоносного ПО. Первый шаг заключался в привлечении пользователей на GitHub, Discord или Dropbox, где было размещено вредоносное ПО.

После загрузки вредоносное ПО собирало данные о зараженной системе, включая размер памяти, детали операционной системы и информацию о пользователе. Затем злоумышленники использовали эти данные для развертывания еще более вредных программ, включая вредоносное ПО, похищающее информацию, такое как Lumma Stealer и Doenerium.

В некоторых случаях также устанавливался инструмент удаленного мониторинга под названием NetSupport, позволяющий злоумышленникам контролировать зараженные устройства на расстоянии. Кампания, которую Microsoft отслеживала под названием Storm-0408, была разработана так, чтобы ее было сложно обнаружить. Нападающие использовали легитимные инструменты, такие как PowerShell и JavaScript, чтобы смешаться с нормальными системными операциями.

Они также внедрили техники устойчивости, такие как изменение настроек реестра и добавление ярлыков запуска, чтобы гарантировать, что вредоносное ПО остается на зараженных устройствах даже после перезагрузки.

Microsoft сотрудничала с командой безопасности GitHub для удаления вредоносных репозиториев и предотвращения дальнейших заражений. Однако компания предупредила, что подобные атаки могут произойти в будущем. Она призвала пользователей быть осторожными при посещении нелегальных сайтов для потокового просмотра и обновлять свое программное обеспечение и защиту от вирусов.

В блоге также были предоставлены технические детали для профессионалов в области кибербезопасности, включая способы обнаружения признаков инфекции и предотвращения подобных угроз.

Microsoft подчеркнула необходимость оставаться бдительными для организаций в отношении развивающихся киберугроз, особенно тех, которые используют надежные платформы вроде GitHub для распространения вредоносного ПО.