Microsoft Threat Intelligence揭露了利用GitHub、Discord和Dropbox的恶意广告活动。发现多阶段攻击链、LOLBAS的使用以及各种恶意软件负载。获取详细分析、IOC和缓解建议。

微软威胁情报团队最近捣毁了一起大规模恶意广告活动，该活动影响了全球近一百万台设备。主要目标是运行各种浏览器(包括Chrome和Edge)的Windows系统，影响范围广泛，从个人用户到大型企业，可见其影响范围之广。

该活动被追踪为Storm-0408，于2024年12月被发现，涉及多阶段攻击链。根据微软分享的研究报告，此次攻击源自非法流媒体网站，攻击者利用受感染的GitHub存储库分发恶意软件，并使用Discord和Dropbox托管一些有效负载。恶意GitHub存储库现已被删除。

用户最初从非法流媒体网站重定向，这些网站在视频帧中嵌入恶意广告“以产生按观看付费或按点击付费收入”，从而引导用户进入中间网站。然后，这些网站将用户重定向到GitHub，第一阶段恶意软件负载就托管在那里。

这些存储库充当了部署其他恶意软件和脚本的启动板。初始恶意软件在受感染的设备上建立了立足点，从而能够部署后续有效载荷——旨在收集系统信息并从受影响的系统中窃取文档和数据。

GitHub上的初始访问有效负载通常是经过混淆的JavaScript文件，这些文件会启动进一步恶意软件的下载和执行。攻击链由多个阶段组成，每个阶段都有特定的目标，正如微软在下图中解释的那样：

第一阶段的有效载荷托管在GitHub上，充当第二阶段文件的植入器。这些文件用于系统发现，收集内存大小、图形详细信息、屏幕分辨率、操作系统和用户路径等信息。然后，这些数据经过Base64编码并泄露到命令和控制(C2)服务器。典型的重定向链可能如下所示：

illegalstreamingsite.com/movie.html -> malvertisingredirector.com/redirect.php -> intermediarysite.net/landing.html -> github.com/malicioususer/malware.js

根据第二阶段有效载荷，部署了各种第三阶段有效载荷，开展其他恶意活动，包括C2通信、数据泄露和防御逃避技术。

攻击者还利用合法工具和脚本，最重要的是利用一种称为“ living-off-the-land 二进制文件和脚本”(LOLBAS)的技术来混入正常的系统活动。例如，一种常见的策略是将恶意代码注入合法的RegAsm.exe进程以建立C2连接并窃取数据。

该活动采用模块化方法，每个阶段都会投放具有不同功能的有效载荷，包括系统发现、凭证窃取和数据泄露。通过修改注册表和在Windows启动文件夹中创建快捷方式文件来实现持久性。

微软与GitHub在删除恶意存储库方面的迅速合作凸显了行业合作在打击网络威胁方面的重要性。

微软已经提供了详细的建议来减轻这种威胁的影响，包括加强Microsoft Defender for Endpoint配置、增强操作环境安全性以及实施多因素身份验证。

SOCRadar首席安全官Ensar Seker对最新进展发表评论称：“攻击者使用地理围栏、设备指纹和隐藏技术来逃避检测，这意味着恶意负载只会传递给目标用户，这使得安全解决方案更难追踪和缓解这一活动。”

“此次活动很可能是更广泛的MaaS(恶意软件即服务)生态系统的一部分，攻击者使用预先构建的恶意广告工具包来分发窃取程序、勒索软件和银行木马等负载，”Ensar补充道。“恶意广告传统上针对Windows用户，但随着越来越多的专业人士使用macOS和Linux，我们将看到跨平台负载变得更加普遍。”