Microsoft Threat Intelligence je početkom decembra 2024. otkrio veliku kampanju malicioznog oglašavanja koja je zarazila skoro milion uređaja širom svijeta u oportunističkom napadu dizajniranom za krađu informacija.
Kampanja je uticala na širok spektar organizacija i industrija, utičući i na potrošačke i poslovne uređaje, naglašavajući neselektivnu prirodu prijetnje.
Microsoft prati ovu aktivnost pod imenom Storm-0408, koji koriste za identifikaciju hakera povezanih s daljinskim pristupom ili malicioznim softverom za krađu informacija.
Napad je potekao sa ilegalnih web stranica za striming na kojima korisnici obično pristupaju piratskim video zapisima.
Ove web stranice su ugradile preusmjerivače malicioznog oglašavanja u okvire filmova kako bi generisali prihod od plaćanja po gledanju ili plaćanja po kliku.
.webp)
Kôd sa web stranica za streaming video sadržaja sadržavao je iframe s URL-ovima preusmjerivača za maliciozno oglašavanje. Korisnici koji su posjećivali ove stranice bili su nesvjesno preusmjereni kroz lanac od četiri do pet slojeva preusmjeravanja, što je na kraju dovelo do malicioznog sadržaja hostovanog na GitHubu.
Dok je GitHub bila primarna platforma koja se koristila za isporuku početnih korisnih podataka za pristup, Microsoft je također primijetio neke korisne sadržaje koji se nalaze na Discordu i Dropboxu.
.webp)
GitHub spremišta, koja su u međuvremenu uklonjena kroz saradnju sa GitHubovim sigurnosnim timom, pohranjuju zlonamjerni softver koji se koristi za postavljanje dodatnih malicioznih datoteka i skripti na uređaje žrtava.
Proces infekcije pratio je sofisticirani višestepeni pristup.
.webp)
Nakon što je došlo do preusmjeravanja na GitHub, maliciozni softver je uspostavio početno uporište na korisnikovom uređaju i funkcionisao je kao ispuštač za dodatne faze korisnog opterećenja.
Korisno opterećenje prve faze palo je na uređaj žrtve sa GitHub-a, uspostavljajući uporište i često ispuštajući datoteke legitimnog izgleda kako bi se iskoristila njihova funkcionalnost.
Lanac napada
Korisno opterećenje druge faze je otkrilo sistem i prikupilo podatke uključujući veličinu memorije, detalje grafičke kartice, rezoluciju ekrana, informacije o operativnom sistemu i putanje korisnika.
Ove informacije su kodirane Base64 i eksfiltrirane kao parametar upita na komandne i kontrolne servere. Tipični uočeni format URL-a bio je: “http:///login.php?event=init&id=&data=”.
U trećoj fazi, u zavisnosti od korisnog opterećenja druge faze, izbačena je jedna ili više izvršnih datoteka, ponekad sa pratećim kodiranim PowerShell skriptama.
Ovi fajlovi su inicirali izvršavanje komandi, isporuku korisnog tereta, defanzivnu evaziju, uspostavu postojanosti i eksfiltraciju podataka. Jedna značajna PowerShell skripta koristila je Add-MpPreference cmdlet za izmjenu postavki Microsoft Defendera:-
Add-MpPreference -ExclusionPath 'C:\Users\\AppData\Local\Temp'
Add-MpPreference -ExclusionPath 'C:\Users\\AppData\Roaming'
Add-MpPreference -ExclusionPath 'C:\ProgramData'U završnoj fazi su implementirani alati za krađu informacija uključujući Lumma stealer i Doenerium za prikupljanje akreditiva pretraživača i drugih osjetljivih podataka.
Pored toga, NetSupport, softver za daljinsko praćenje i upravljanje, često je bio korišten zajedno sa kradljivcima informacija.
Napadači su pristupili osjetljivim datotekama s podacima pretraživača, uključujući kolačiće, podatke za prijavu i informacije o web obrascima iz pretraživača Firefox, Chrome i Edge.
Izvor: CyberSecurityNews
