Нови един милион устройства са били засегнати от зловредна рекламна кампания, пренасочваща потребителите към зловреден софтуер за кражба на информация, хостван в GitHub, съобщава Microsoft.

Кампанията, приписвана на участник в заплахата, проследен като Storm-0408, е била насочена към посетителите на уебсайтове за незаконно стрийминг, където злонамерените пренасочващи устройства са водели до междинен сайт, а след това до платформата за хостинг на код, собственост на Microsoft.

Опортюнистичните атаки, които разчитаха основно на GitHub за хостване на зловреден софтуер, но също и на Discord и Dropbox, засегнаха „широк кръг организации и индустрии, включително потребителски и корпоративни устройства“, казва Microsoft.

Многопластовата инфекциозна верига, наблюдавана при тези атаки, включваше хоствания в GitHub полезен товар на първия етап, действащ като дропър, файлове на втория етап за откриване на системата и кражба на системна информация, както и полезен товар на третия етап за допълнителни злонамерени дейности.

След като бъде инсталиран на устройството на жертвата, зловредният софтуер, съхраняван в хранилищата на GitHub, извлича и разгръща допълнителни файлове и скриптове, за да събере допълнителна системна информация, да постигне устойчивост, да изпълни команди и да екфилтрира данни от компрометираните системи.

По-конкретно, Microsoft идентифицира устройства за кражба на информация като Lumma stealer и актуализирана версия на Doenerium, които се разполагат в системите на жертвите, заедно със софтуера за отдалечено наблюдение и управление (RMM) NetSupport и различни скриптове PowerShell, JavaScript, VBScript и AutoIT.

За операциите по командване и контрол (C&C) и ексфилтрацията на данни и удостоверения за достъп до браузъра извършителите са използвали  „живи“ двоични файлове и скриптове като PowerShell, MSBuild и RegAsm. За да запазят трайността си, нападателите са модифицирали ключовете за изпълнение в регистъра и са добавили файл с пряк път в папката Startup.

Според Microsoft полезните товари от първия етап, използвани в кампанията, са били цифрово подписани. Microsoft идентифицира и анулира 12 различни сертификата, използвани като част от атаките.

Технологичният гигант предостави технически подробности за наблюдаваните зловредни файлове и скриптове, заедно с индикатори за компрометиране (IoC), като призова организациите и потребителите да гарантират, че техните системи са правилно защитени срещу подобни атаки.