За кулисами пиратского кино: невидимые руки похищают ваши пароли
Как схема заработка Pay-Per-Click превращается в Click-To-Hack.
Microsoft заблокировала ряд репозиториев на GitHub, используемых в крупной кампании малвертайзинга, затронувшей почти миллион устройств по всему миру. Специалисты компании обнаружили вредоносную активность в декабре 2024 года, когда зафиксировали загрузку вредоносного ПО с платформы GitHub на многочисленные устройства. Зловредное ПО впоследствии использовалось для развёртывания дополнительных вредоносных компонентов на скомпрометированных системах.
Анализ показал, что злоумышленники встраивали рекламные редиректоры в видеоконтент на нелегальных потоковых сайтах, размещающих пиратские фильмы. Эти редиректоры направляли жертв на вредоносные репозитории в GitHub, контролируемые атакующими. Как пояснили в Microsoft, стриминговые сайты использовали малвертайзинг не только для распространения вредоносного ПО, но и для генерации прибыли по модели Pay-Per-View или Pay-Per-Click.
Попав на GitHub, пользователи загружали вредоносное ПО, которое собирало данные о системе, включая объём оперативной памяти, параметры графики, разрешение экрана, операционную систему и пути пользователей. Затем информация передавалась атакующим, а на устройства загружались дополнительные вредоносные компоненты.
На следующем этапе PowerShell-скрипт загружал троян удалённого доступа NetSupport с сервера управления, а также вносил изменения в реестр Windows для обеспечения его постоянного присутствия. После запуска этот троян мог загружать дополнительное вредоносное ПО, включая стилеры Lumma и Doenerium, которые предназначены для кражи пользовательских данных и учётных данных браузеров.
Если же на втором этапе атаки загружался исполняемый файл, он запускал CMD-скрипт и загружал переименованный интерпретатор AutoIt с расширением «.com», который затем выполнял вредоносный бинарный файл. В некоторых случаях использовалась и версия AutoIt с расширением «.scr». Вредоносный JavaScript помогал обеспечивать их выполнение и закрепление в системе.
На последнем этапе AutoIt-скрипты использовали PowerShell или RegAsm для открытия файлов, включения удалённого отладки браузера и кражи дополнительных данных. В некоторых случаях PowerShell также использовался для отключения защитных механизмов Windows Defender и загрузки новых экземпляров NetSupport.
Хотя первичная загрузка зловредного ПО происходила через GitHub, специалисты Microsoft зафиксировали также использование Dropbox и Discord для распространения полезной нагрузки. Вся вредоносная кампания отслеживается под идентификатором Storm-0408, включающим группу киберпреступников, распространяющих вредоносное ПО с использованием фишинга, SEO-манипуляций и малвертайзинга.
Кибератака затронула широкий круг организаций и отраслей, включая как корпоративные, так и потребительские устройства, что говорит о масштабности и неизбирательности этой кампании. Microsoft представила развёрнутый отчёт с детальным разбором всех этапов атаки и используемых вредоносных компонентов.