全球恶意广告活动被微软捣毁：GitHub 仓库成攻击跳板，近 100 万设备受威胁

根据 IT之家 3 月 8 日的消息，科技媒体 bleepingcomputer 于 3 月 7 日发布了最新博文，报道称微软成功摧毁了一些用于大规模恶意广告投放的 GitHub 仓库，这些恶意活动影响了全球近百万台设备。

微软的威胁分析师在 2024 年 12 月初首度检测到这些攻击，注意到多个设备从 GitHub 仓库下载恶意软件，并在受影响的系统上部署了一系列其他恶意负载。

通过调查，微软发现这些攻击活动可分为 4 个阶段。在第一阶段，攻击者通过非法盗版流媒体网站的视频注入广告，并将潜在受害者重定向到他们控制的恶意 GitHub 仓库。流媒体平台通过电影帧嵌入恶意广告重定向代码，从中实现按点击或按观看的收入。IT之家也附上相关信息如下：

这些重定向逻辑通过一两个额外的恶意重定向器，最终将流量导向恶意网站或技术支持诈骗页面，并进一步转向 GitHub。

设计用于执行系统发现的恶意软件，可以收集详细的系统信息，包括内存大小、显卡信息、屏幕分辨率、操作系统及用户文件路径，并在后续的第二阶段负载部署时进行数据窃取。

在第三阶段，PowerShell 脚本从命令控制服务器下载名为 NetSupport 的远程访问木马（RAT），并在注册表中建立持久性。执行后，这些恶意软件还能够部署 Lumma 信息窃取程序和开源 Doenerium 窃取程序，以盗取用户数据和浏览器凭证。

如果第三阶段的负载是可执行文件，它将创建并执行 CMD 文件，并释放重命名的 AutoIt 解释器。随后的 AutoIt 组件会启动相应的二进制文件，并可能释放另一个版本的 AutoIt 解释器。

AutoIt 负载通过 RegAsm 或 PowerShell 打开文件，实现远程浏览器调试，并窃取更多信息，同时在某些情况下，PowerShell 还用于配置 Windows Defender 的排除路径或释放额外的 NetSupport 负载。

在这次活动中，GitHub 是承载第一阶段负载的主要平台，但微软的威胁情报团队同样注意到 Dropbox 和 Discord 也存在部分负载的托管情况。

这一攻击活动被称为“Storm-0408”，涉及多个与远程访问或信息窃取恶意软件相关的威胁行为者，他们通过钓鱼、搜索引擎优化（SEO）或恶意广告等手段进行恶意载荷的传播。

广告声明：本文中包含的外部跳转链接（包括但不限于超链接、二维码、口令等形式）旨在提供更多信息，以节省您查找的时间，所提供信息仅供参考。