惡意廣告攻擊的運作機制

微軟近日披露了一起大規(guī)模的惡意廣告攻擊活動，該活動旨在竊取敏感信息，估計已影響全球超過100萬臺設(shè)備。微軟稱這是一次機會主義攻擊，最早于2024年12月初檢測到相關(guān)活動，并將其歸類為Storm-0408，這是一個用于追蹤一系列通過釣魚、搜索引擎優(yōu)化（SEO）或惡意廣告分發(fā)遠程訪問或信息竊取惡意軟件的黑客組織的代號。

微軟威脅情報團隊表示：“此次攻擊源自嵌入了惡意廣告重定向器的非法流媒體網(wǎng)站，用戶被重定向到一個中間網(wǎng)站，隨后又被引導(dǎo)至GitHub和其他兩個平臺。”此次攻擊影響了廣泛的組織和行業(yè)，涉及消費級和企業(yè)級設(shè)備，顯示出其無差別攻擊的特性。

GitHub被用于初始訪問載荷的分發(fā)

此次攻擊最具代表性的特點之一是使用GitHub作為初始訪問載荷的分發(fā)平臺。在其他至少兩個獨立案例中，載荷被發(fā)現(xiàn)托管在Discord和Dropbox上。GitHub的相關(guān)倉庫已被刪除，但微軟未透露具體刪除了多少個此類倉庫。微軟旗下的代碼托管服務(wù)GitHub充當了投遞惡意軟件的中間平臺，這些惡意軟件負責部署一系列附加程序，如Lumma Stealer和Doenerium，這些程序能夠收集系統(tǒng)信息。

攻擊還采用了復(fù)雜的重定向鏈，包含四到五層，初始重定向器嵌入在非法流媒體網(wǎng)站的iframe元素中，傳播盜版內(nèi)容。整個感染過程是一個多階段的操作，包括系統(tǒng)發(fā)現(xiàn)、信息收集，以及使用NetSupport RAT和AutoIT腳本等后續(xù)載荷來進一步竊取數(shù)據(jù)。遠程訪問木馬也充當了竊取惡意軟件的渠道。

攻擊的多個階段

• 第一階段：在目標設(shè)備上建立立足點
• 第二階段：系統(tǒng)偵察、數(shù)據(jù)收集和泄露，以及載荷投遞
• 第三階段：命令執(zhí)行、載荷投遞、防御規(guī)避、持久化、命令與控制通信，以及數(shù)據(jù)泄露
• 第四階段：通過PowerShell腳本配置Microsoft Defender的排除項，并運行命令從遠程服務(wù)器下載數(shù)據(jù)

Power Shell腳本的使用

此次攻擊的另一個特點是使用了各種PowerShell腳本，以下載NetSupport RAT、識別已安裝的應(yīng)用程序和安全軟件，特別是掃描加密貨幣錢包的存在，表明可能存在財務(wù)數(shù)據(jù)竊取行為。微軟表示：“除了信息竊取軟件外，PowerShell、JavaScript、VBScript和AutoIT腳本也在主機上運行。威脅行為者還利用了如PowerShell.exe、MSBuild.exe和RegAsm.exe等LOLBAS（Living-Off-the-Land Binaries and Scripts）進行命令控制（C2）和用戶數(shù)據(jù)及瀏覽器憑據(jù)的泄露。”

卡巴斯基揭示新型誘騙網(wǎng)站

與此同時，卡巴斯基揭示了假冒DeepSeek和Grok人工智能（AI）聊天機器人的虛假網(wǎng)站，這些網(wǎng)站被用來誘騙用戶安裝一種此前未被記錄在案的 Python 信息竊取程序。

在社交平臺 X（原推特）上，一些經(jīng)過認證的賬號（如 @ColeAddisonTech、@gaurdevang2 和 @saduq5）所推廣的以DeekSeek為主題的誘餌網(wǎng)站，也被用來執(zhí)行一個 PowerShell 腳本，該腳本利用安全外殼協(xié)議（SSH）讓攻擊者能夠遠程訪問用戶的電腦。

卡巴斯基表示：“網(wǎng)絡(luò)犯罪分子會使用各種各樣的手段，將受害者引誘至惡意資源頁面。通常情況下，指向這類網(wǎng)站的鏈接會通過即時通訊軟件和社交網(wǎng)絡(luò)進行傳播。攻擊者還可能會采用域名搶注（仿冒域名）的手段，或者通過眾多聯(lián)屬營銷計劃，購買指向惡意網(wǎng)站的廣告流量。”