Microsoft, kötü amaçlı reklam kampanyasından etkilenen bir milyondan fazla bilgisayarı açıkladı

Microsoft, kötü amaçlı reklam kampanyasından etkilenen bir milyondan fazla bilgisayarı açıkladı

Microsoft, büyük bir kötü amaçlı reklam kampanyası keşfettiğini söylüyor

Amaç, bilgi hırsızlarını mümkün olduğunca geniş bir alana yaymaktı

Şirket, buna yanıt olarak açıklanmayan sayıda GitHub deposunu kaldırdı

Microsoft'un güvenlik araştırmacılarının yeni araştırması, büyük bir kötü amaçlı reklam kampanyası yoluyla bir milyondan fazla bilgisayarın bilgi hırsızları tarafından enfekte edildiğini ortaya koydu.

Kampanya, insanların korsan içerik izleyebildiği yasa dışı yayın sitelerinde başlıyor. Görünüşe göre, siber suçlular, saldırganların kontrolündeki birçok GitHub deposundan birine ulaşmadan önce ziyaretçileri bir yönlendirmeler trenine bindiren reklamlar yerleştirdi.

Orada, sistem keşfini çalıştıracak ve sistem bilgilerini (işletim sistemi verileri, ekran çözünürlüğü, bellek boyutu vb.) toplayacak ilk yükü indirecekler, ikinci aşama yükünü dağıtırken saldırganların kontrolündeki bir sunucuya sızdıracaklar.

Infostealer'lar eylemde

İkinci aşama yükü, tehlikeye atılan cihaza bağlıdır. Bazı durumlarda, bir NetSupport uzaktan erişim trojan'ı (RAT) olacak, ardından Lumma Stealer veya Doenerium infostealer gelecek. Bu kötü amaçlı yazılım, insanların oturum açma kimlik bilgilerini, kripto para birimi bilgilerini, banka bilgilerini ve daha fazlasını ele geçirebilir. Diğer durumlarda, kötü amaçlı yazılım bir CMD çalıştıran ve .com uzantılı yeniden adlandırılmış bir AutoIt yorumlayıcısını bırakan yürütülebilir bir dosya indirecektir.

AutoIt daha sonra, nihayetinde aynı sonuca yol açan birkaç ek adım çalıştırır - hedef sistemden hassas dosyaların sızdırılması.

Çoğu durumda, yükler GitHub'da barındırılıyordu ve Microsoft, açıklanmayan sayıda deponun kaldırıldığını söyledi. Ancak, kötü amaçlı yazılım Dropbox ve Discord'da da barındırılıyordu. Kampanyayı belirli bir tehdit aktörüne bağlamadı ve kurbanların çok çeşitli endüstrilerde bulunduğunu söyledi.

Microsoft, "Bu etkinlik, uzaktan erişim veya bilgi çalan kötü amaçlı yazılımlarla ilişkili çok sayıda tehdit aktörünü izlemek için kullandığımız Storm-0408 şemsiye adı altında izleniyor ve kötü amaçlı yükleri dağıtmak için kimlik avı, arama motoru optimizasyonu (SEO) veya kötü amaçlı reklam kampanyaları kullanıyorlar," dedi.

"Kampanya, hem tüketici hem de kurumsal cihazlar dahil olmak üzere çok çeşitli kuruluşları ve endüstrileri etkiledi ve saldırının ayrım gözetmeyen doğasını vurguladı."

Kaynak: TechRadar