Microsoft Threat Intelligence zeigt, dass es eine große Kampagne von Malvertling identifiziert hat die fast eine Million Geräte betroffen haben in der Welt. Es basierte auf der Injektion böswilliger Anzeigen in Videos auf illegalen Streaming -Sites.
Die Opfer wurden zu Github -Ablagerungen umgeleitet Unter der Kontrolle der Angreifer, um sie mit Malware vom Typ InfoStaler zu infizieren. Die Github -Plattform wurde somit verwendet, um nützliche Ladungen zu den ersten Ebenen zu ermöglichen.
In geringerem Maße wurden auch andere Plattformen wie Zwietracht und Dropbox unter der Eegis der böswilligen Aktivitäten ausgenutzt, gefolgt von Microsoft unter dem generischen Namen Storm-0408. Es gibt keine spezifische Zuweisung.
Vier nützliche Lastniveaus
Ein Blog -Beitrag kommt zu technischen Details. Er unterstreicht nützliche böswillige Gebühren für die zweite, dritte und vierte Ebene.
Im neuesten Schritt könnten das Regasm.exe (Assembly Tool) oder das PowerShell -Tool zum Öffnen von Dateien verwendet werden, den Remote -Browser aktivieren und mehr Daten einleiten. Microsoft merkt außerdem an, dass PowerShell in einigen Fällen auch dazu beigetragen hat, Ausschlüsse für Microsoft Defender zu konfigurieren.
Der Angriff wurde Anfang Dezember 2024 erstmals festgestellt. Die Warnung wurde durch die Tatsache gegeben, dass mehrere Geräte Schädlinge aus Github -Einlagen heruntergeladen hatten.
Indizes auf Piratenstandorten
Kompromissindikatoren werden von Microsoft kommuniziert. Sie erlauben insbesondere, dass Infektionen aus den Feldern des Streaming -Videos stammen Movies7 (.) Netz Und 0123Movie (.) Kunst Mit einem böswilligen Iframa.
Um unter Radare zu gehen, hat der Angriff signierte Softwarezertifikate und durch Ausstrahlung legitimer Dateien verwendet.
„“ “ Mitte Januar 2025 wurden die nützlichen Gebühren der entdeckten ersten Ebene mit einem neu erstellten Zertifikat unterzeichnet », Schreibt Microsoft und betonte, weil er insgesamt zwölf Zertifikate widerrufen hat anders.
