如果您要访问托管盗版视频流的网站,请最好准备接受风险。 受源自这些网站的恶意软件影响的 100 万台设备的所有者可能没有考虑到这一点。微软撰文称,其威胁分析团队在 2024 年 12 月检测到一个大规模的恶意广告活动,影响了全球近一百万台设备。
该公司追溯到两个非法流媒体网站 - movies7 和 0123movie - 嵌入了恶意广告重定向器。 攻击者在网站托管的视频中注入了广告。 这些广告从恶意广告平台产生按次付费或按点击付费的收入,并随后通过一个或两个额外的恶意重定向器将流量导入。
受害者最终会被引向另一个网站,如技术支持诈骗网站,然后被重定向到 GitHub。
GitHub 存储库存储了用于部署更多恶意文件和脚本的恶意软件,现已被删除。 一旦有人下载了恶意软件,它就会被用来收集系统信息和部署第二阶段有效载荷,以窃取文档和数据。
然后,第三阶段的 PowerShell 脚本有效载荷会从命令控制服务器下载 NetSupport 远程访问木马(RAT),并在注册表中设置持久存在。 RAT 可以发送 Lumma 信息窃取恶意软件或 Doenerium 信息窃取软件的更新版本。
该恶意软件还允许攻击者监视受害者的浏览活动,甚至与活动浏览器(包括 Firefox、Chrome 和 Edge)进行交互。
第一阶段的有效载荷使用新创建的证书进行数字签名,并包含一些合法文件以隐藏其真实性质。 共识别出 12 个不同的证书,这些证书后来都被撤销了。
虽然 GitHub 是交付这些有效载荷的主要平台,但微软还发现一个有效载荷托管在 Discord 上,另一个托管在 Dropbox 上。 与 GitHub 一样,在这些平台上托管恶意软件的网页已被删除。
微软写道,该活动具有滥杀滥伤的性质,既影响消费者设备,也影响企业设备。 微软还指出,Windows的Microsoft Defender软件能够检测并标记攻击中使用的恶意软件。