惡意廣告攻擊的運(yùn)作機(jī)制

微軟近日披露了一起大規(guī)模的惡意廣告攻擊活動(dòng)，該活動(dòng)旨在竊取敏感信息，估計(jì)已影響全球超過(guò)100萬(wàn)臺(tái)設(shè)備。微軟稱這是一次機(jī)會(huì)主義攻擊，最早于2024年12月初檢測(cè)到相關(guān)活動(dòng)，并將其歸類為Storm-0408，這是一個(gè)用于追蹤一系列通過(guò)釣魚(yú)、搜索引擎優(yōu)化（SEO）或惡意廣告分發(fā)遠(yuǎn)程訪問(wèn)或信息竊取惡意軟件的黑客組織的代號(hào)。

微軟威脅情報(bào)團(tuán)隊(duì)表示：“此次攻擊源自嵌入了惡意廣告重定向器的非法流媒體網(wǎng)站，用戶被重定向到一個(gè)中間網(wǎng)站，隨后又被引導(dǎo)至GitHub和其他兩個(gè)平臺(tái)?！贝舜喂粲绊懥藦V泛的組織和行業(yè)，涉及消費(fèi)級(jí)和企業(yè)級(jí)設(shè)備，顯示出其無(wú)差別攻擊的特性。

GitHub被用于初始訪問(wèn)載荷的分發(fā)

此次攻擊最具代表性的特點(diǎn)之一是使用GitHub作為初始訪問(wèn)載荷的分發(fā)平臺(tái)。在其他至少兩個(gè)獨(dú)立案例中，載荷被發(fā)現(xiàn)托管在Discord和Dropbox上。GitHub的相關(guān)倉(cāng)庫(kù)已被刪除，但微軟未透露具體刪除了多少個(gè)此類倉(cāng)庫(kù)。微軟旗下的代碼托管服務(wù)GitHub充當(dāng)了投遞惡意軟件的中間平臺(tái)，這些惡意軟件負(fù)責(zé)部署一系列附加程序，如Lumma Stealer和Doenerium，這些程序能夠收集系統(tǒng)信息。

攻擊還采用了復(fù)雜的重定向鏈，包含四到五層，初始重定向器嵌入在非法流媒體網(wǎng)站的iframe元素中，傳播盜版內(nèi)容。整個(gè)感染過(guò)程是一個(gè)多階段的操作，包括系統(tǒng)發(fā)現(xiàn)、信息收集，以及使用NetSupport RAT和AutoIT腳本等后續(xù)載荷來(lái)進(jìn)一步竊取數(shù)據(jù)。遠(yuǎn)程訪問(wèn)木馬也充當(dāng)了竊取惡意軟件的渠道。

攻擊的多個(gè)階段

• 第一階段：在目標(biāo)設(shè)備上建立立足點(diǎn)
• 第二階段：系統(tǒng)偵察、數(shù)據(jù)收集和泄露，以及載荷投遞
• 第三階段：命令執(zhí)行、載荷投遞、防御規(guī)避、持久化、命令與控制通信，以及數(shù)據(jù)泄露
• 第四階段：通過(guò)PowerShell腳本配置Microsoft Defender的排除項(xiàng)，并運(yùn)行命令從遠(yuǎn)程服務(wù)器下載數(shù)據(jù)

Power Shell腳本的使用

此次攻擊的另一個(gè)特點(diǎn)是使用了各種PowerShell腳本，以下載NetSupport RAT、識(shí)別已安裝的應(yīng)用程序和安全軟件，特別是掃描加密貨幣錢包的存在，表明可能存在財(cái)務(wù)數(shù)據(jù)竊取行為。微軟表示：“除了信息竊取軟件外，PowerShell、JavaScript、VBScript和AutoIT腳本也在主機(jī)上運(yùn)行。威脅行為者還利用了如PowerShell.exe、MSBuild.exe和RegAsm.exe等LOLBAS（Living-Off-the-Land Binaries and Scripts）進(jìn)行命令控制（C2）和用戶數(shù)據(jù)及瀏覽器憑據(jù)的泄露?！?/p>

卡巴斯基揭示新型誘騙網(wǎng)站

與此同時(shí)，卡巴斯基揭示了假冒DeepSeek和Grok人工智能（AI）聊天機(jī)器人的虛假網(wǎng)站，這些網(wǎng)站被用來(lái)誘騙用戶安裝一種此前未被記錄在案的 Python 信息竊取程序。

在社交平臺(tái) X（原推特）上，一些經(jīng)過(guò)認(rèn)證的賬號(hào)（如 @ColeAddisonTech、@gaurdevang2 和 @saduq5）所推廣的以DeekSeek為主題的誘餌網(wǎng)站，也被用來(lái)執(zhí)行一個(gè) PowerShell 腳本，該腳本利用安全外殼協(xié)議（SSH）讓攻擊者能夠遠(yuǎn)程訪問(wèn)用戶的電腦。

卡巴斯基表示：“網(wǎng)絡(luò)犯罪分子會(huì)使用各種各樣的手段，將受害者引誘至惡意資源頁(yè)面。通常情況下，指向這類網(wǎng)站的鏈接會(huì)通過(guò)即時(shí)通訊軟件和社交網(wǎng)絡(luò)進(jìn)行傳播。攻擊者還可能會(huì)采用域名搶注（仿冒域名）的手段，或者通過(guò)眾多聯(lián)屬營(yíng)銷計(jì)劃，購(gòu)買指向惡意網(wǎng)站的廣告流量?！?/p>