Нови един милион устройства са били засегнати от зловредна рекламна кампания, пренасочваща потребителите към зловреден софтуер за кражба на информация, хостван в GitHub, съобщава Microsoft.
Кампанията, приписвана на участник в заплахата, проследен като Storm-0408, е била насочена към посетителите на уебсайтове за незаконно стрийминг, където злонамерените пренасочващи устройства са водели до междинен сайт, а след това до платформата за хостинг на код, собственост на Microsoft.
Опортюнистичните атаки, които разчитаха основно на GitHub за хостване на зловреден софтуер, но също и на Discord и Dropbox, засегнаха „широк кръг организации и индустрии, включително потребителски и корпоративни устройства“, казва Microsoft.
Многопластовата инфекциозна верига, наблюдавана при тези атаки, включваше хоствания в GitHub полезен товар на първия етап, действащ като дропър, файлове на втория етап за откриване на системата и кражба на системна информация, както и полезен товар на третия етап за допълнителни злонамерени дейности.
След като бъде инсталиран на устройството на жертвата, зловредният софтуер, съхраняван в хранилищата на GitHub, извлича и разгръща допълнителни файлове и скриптове, за да събере допълнителна системна информация, да постигне устойчивост, да изпълни команди и да екфилтрира данни от компрометираните системи.
По-конкретно, Microsoft идентифицира устройства за кражба на информация като Lumma stealer и актуализирана версия на Doenerium, които се разполагат в системите на жертвите, заедно със софтуера за отдалечено наблюдение и управление (RMM) NetSupport и различни скриптове PowerShell, JavaScript, VBScript и AutoIT.
За операциите по командване и контрол (C&C) и ексфилтрацията на данни и удостоверения за достъп до браузъра извършителите са използвали „живи“ двоични файлове и скриптове като PowerShell, MSBuild и RegAsm. За да запазят трайността си, нападателите са модифицирали ключовете за изпълнение в регистъра и са добавили файл с пряк път в папката Startup.
Според Microsoft полезните товари от първия етап, използвани в кампанията, са били цифрово подписани. Microsoft идентифицира и анулира 12 различни сертификата, използвани като част от атаките.
Технологичният гигант предостави технически подробности за наблюдаваните зловредни файлове и скриптове, заедно с индикатори за компрометиране (IoC), като призова организациите и потребителите да гарантират, че техните системи са правилно защитени срещу подобни атаки.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
