如果您要访问托管盗版视频流的网站,请最好准备接受风险。受源自这些网站的恶意软件影响的100万台设备的所有者可能没有考虑到这一点。微软撰文称,其威胁分析团队在2024年12月检测到一个大规模的恶意广告活动,影响了全球近一百万台设备。
该公司追溯到两个非法流媒体网站-movies7和0123movie-嵌入了恶意广告重定向器。攻击者在网站托管的视频中注入了广告。这些广告从恶意广告平台产生按次付费或按点击付费的收入,并随后通过一个或两个额外的恶意重定向器将流量导入。
受害者最终会被引向另一个网站,如技术支持诈骗网站,然后被重定向到GitHub。
GitHub存储库存储了用于部署更多恶意文件和脚本的恶意软件,现已被删除。一旦有人下载了恶意软件,它就会被用来收集系统信息和部署第二阶段有效载荷,以窃取文档和数据。
然后,第三阶段的PowerShell脚本有效载荷会从命令控制服务器下载NetSupport远程访问木马(RAT),并在注册表中设置持久存在。RAT可以发送Lumma信息窃取恶意软件或Doenerium信息窃取软件的更新版本。
该恶意软件还允许攻击者监视受害者的浏览活动,甚至与活动浏览器(包括Firefox、Chrome和Edge)进行交互。
第一阶段的有效载荷使用新创建的证书进行数字签名,并包含一些合法文件以隐藏其真实性质。共识别出12个不同的证书,这些证书后来都被撤销了。
虽然GitHub是交付这些有效载荷的主要平台,但微软还发现一个有效载荷托管在Discord上,另一个托管在Dropbox上。与GitHub一样,在这些平台上托管恶意软件的网页已被删除。
微软写道,该活动具有滥杀滥伤的性质,既影响消费者设备,也影响企业设备。微软还指出,Windows的MicrosoftDefender软件能够检测并标记攻击中使用的恶意软件。