Вредоносная реклама в пиратских кинотеатрах заразила троянами более миллиона ПК
Microsoft выявила вредоносную кампанию и принимает меры по ее блокировке. Большинство зафиксированных вредоносов хостились на GitHub. Соответствующие репозитории удалены, но GitHub - не единственный хостинг, откуда вредоносы доставлялись жертвам
Ловушка пиратов
Microsoft предпринимает усилия по остановке кампании вредоносной рекламы, которая уже затронула около 1 млн ПК по всему миру. К настоящему времени ликвидированы несколько репозиториев GitHub, которые использовались злоумышленниками.
Кампанию засекли в начале декабря 2024 г., когда обнаружилось, что из ряда репозиториев производится массовое скачивание программных компонентов. Эти компоненты оказались вредоносными: обосновавшись в системе, они начинали серийно догружать новые вредоносы.
Исследование показало, что злоумышленники встроили рекламные объявления в видео, которые были размещены на пиратских стриминговых площадках - речь идет о пиратских копиях фильмов. Эти объявления переводили пользователей на указанные репозитории GitHub.
Как пояснили в Microsoft, прямо в кинофильмы на пиратских сайтах были встроены редиректоры, которые перенаправляли траффик еще через несколько аналогичных редиректоров. В конечном счете пользователь оказывался на вредоносном сайте, где его обманом заставляли скачивать что-то с GitHub. Эти сайты нередко представляли собой мошеннические «службы технической поддержки».
Пиратские сайты, в свою очередь, получали отчисления от «рекламодателей» по традиционной модели - за клики и просмотры.
Длинная цепочка
Microsoft подробно описывает вредоносные компоненты, выявленные в ликвидированных репозиториях.
Вредоносы первой очереди осуществляли сбор данных о скомпрометированных системах, в том числе, об объеме доступной памяти, графических процессорах, разрешении экрана, операционной системе и пользовательских каталогах. Все эти данные выгружались на сервер под контролем злоумышленников. Одновременно загружались и устанавливались вредоносы второй и третьей стадий.
На третьем этапе, в частности, скрипт PowerShell закачивал троянец удаленного доступа NetSupport, и модифицировал системный реестр так, чтобы обеспечить вредоносной программе постоянство присутствия.
NetSupport, в свою очередь, подгружал инфостилеры, такие как Lumma и Doenerium, которые уже выкрадывали значимую пользовательскую информацию и реквизиты доступа из браузеров.
Кроме этого, компонент третьей стадии создает и запускает файл CMD, который подгружает переименованный интерпретатор AutoIt с расширением .com, а тот, в свою очередь, запускает двоичный файл, докачивающий еще одну версию AutoIt, уже с расширением .scr. К ним добавляется файл JavaScript, который помогает запускать и обеспечивать постоянство файлам .scr.
На последнем этапе атаки компоненты AutoIt используют RegAsm или PowerShell для запуска файлов, удаленного перевода браузеров в режим отладки и вывода дополнительной информации. В некоторых случаях PowerShell также используется для настройки путей исключения для антивируса Windows Defender и загрузки дополнительных компонентов NetSupport.
«Такие сложные схемы создаются для обхода максимального числа защитных механизмов операционной системы», — говорит Андрей Зайцев, эксперт по информационной безопасности компании SEQ. «Как легко заметить, схема неплохо работает: если жертв действительно около миллиона, значит, злоумышленники достигают своих целей. Это также свидетельствует о запредельном количестве посетителей пиратских ресурсов».
В Microsoft отметили, что GitHub - основной, но не единственный источник вредоносных файлов: с той же целью использовались аккаунты в Dropbox и Discord.
Активность злоумышленников отслеживается под условным наименованием Storm-0408 - это «зонтичный» термин для нескольких группировок, которые специализируются на вредоносном ПО для удаленного доступа и кражи данных, а также используют фишинг, SEO-оптимизацию и рекламу для распространения вредоносов.
Нынешняя кампания, по утверждению экспертов Microsoft Threat Intelligence, уже затронула широкий спектр организаций и отраслей. Жертвами становились как потребительские системы, так и корпоративные, что указывает на неразборчивость злоумышленников в выборе целей.