Microsoftは、全世界で約100万台のデバイスに影響を与えた大規模な不正広告キャンペーンに使用された、非公開の数のGitHubリポジトリを削除した。
同社の脅威アナリストは、2024年12月初旬、複数のデバイスがGitHubリポジトリからマルウェアをダウンロードするのを観察した後、これらの攻撃を検出しました。
このキャンペーンを分析した結果、攻撃者は違法な海賊版ストリーミング・ウェブサイトの動画に広告を挿入し、潜在的な被害者を自分たちの管理下にある悪意のあるGitHubリポジトリにリダイレクトさせていることが判明しました。
「ストリーミング・サイトは、不正広告プラットフォームからペイ・パー・ビューまたはペイ・パー・クリックの収益を得るために、映画のフレーム内に不正広告のリダイレクターを埋め込んでいました。「これらのリダイレクターはその後、1つか2つの悪意のあるリダイレクターを経由してトラフィックを誘導し、最終的にマルウェアや技術サポート詐欺サイトなどの別のウェブサイトに誘導し、そこからGitHubにリダイレクトさせる。
不正広告動画は、ユーザーをGitHubのリポジトリにリダイレクトし、システムディスカバリを実行し、詳細なシステム情報(メモリサイズ、グラフィックの詳細、画面解像度、オペレーティングシステム(OS)、ユーザーパスなど)を収集し、さらに第2段階のペイロードを展開しながら、取得したデータを流出させるように設計されたマルウェアに感染させました。
その後、第3段階のPowerShellスクリプトのペイロードが、コマンド&コントロールサーバーからNetSupportリモートアクセストロイ型トロイの木馬(RAT)をダウンロードし、RATのレジストリに永続性を確立します。このマルウェアが実行されると、Lumma 情報窃取マルウェアとオープンソースのDoenerium情報窃取マルウェアを展開し、ユーザーデータとブラウザーの認証情報を流出させます。
一方、第3段階のペイロードが実行可能ファイルの場合、.com拡張子を持つリネームされたAutoItインタプリタをドロップしながら、CMDファイルを作成して実行します。その後、このAutoItコンポーネントがバイナリを起動し、拡張子が.scrの別のバージョンのAutoItインタプリタをドロップすることがあります。.scrファイルの実行と永続性を獲得するために、JavaScriptファイルも配置されます。
攻撃の最終段階では、AutoItペイロードはRegAsmまたはPowerShellを使用してファイルを開き、リモートブラウザのデバッグを有効にし、追加情報を流出させます。場合によっては、Windows Defenderの除外パスを設定したり、NetSupportペイロードをさらにドロップするためにPowerShellが使用されることもあります。
キャンペーンの第一段階で配信されたペイロードをホストする主なプラットフォームはGitHubでしたが、Microsoft Threat IntelligenceはDropboxとDiscordでホストされたペイロードも観測しています。
「この活動は、リモートアクセスや情報窃取マルウェアに関連し、悪意のあるペイロードを配布するためにフィッシング、検索エンジン最適化(SEO)、または不正広告キャンペーンを使用する多数の脅威行為者を追跡するために使用するStorm-0408という包括的な名前で追跡されています」とマイクロソフトは述べています。
「このキャンペーンは、消費者向けデバイスと企業向けデバイスの両方を含む、幅広い組織や業界に影響を与え、攻撃の無差別性を浮き彫りにしました。
マイクロソフトのレポートでは、この複雑なマルバタイジングキャンペーンの多段階の攻撃チェーン全体にわたって使用された攻撃のさまざまな段階とペイロードに関する追加的でより詳細な情報を提供しています。
Comments