惡意廣告攻擊的運作機制

微軟近日披露了一起大規模的惡意廣告攻擊活動，該活動旨在竊取敏感信息，估計已影響全球超過100萬臺設備。微軟稱這是一次機會主義攻擊，最早于2024年12月初檢測到相關活動，并將其歸類為Storm-0408，這是一個用于追蹤一系列通過釣魚、搜索引擎優化（SEO）或惡意廣告分發遠程訪問或信息竊取惡意軟件的黑客組織的代號。

微軟威脅情報團隊表示：“此次攻擊源自嵌入了惡意廣告重定向器的非法流媒體網站，用戶被重定向到一個中間網站，隨后又被引導至GitHub和其他兩個平臺。”此次攻擊影響了廣泛的組織和行業，涉及消費級和企業級設備，顯示出其無差別攻擊的特性。

GitHub被用于初始訪問載荷的分發

此次攻擊最具代表性的特點之一是使用GitHub作為初始訪問載荷的分發平臺。在其他至少兩個獨立案例中，載荷被發現托管在Discord和Dropbox上。GitHub的相關倉庫已被刪除，但微軟未透露具體刪除了多少個此類倉庫。微軟旗下的代碼托管服務GitHub充當了投遞惡意軟件的中間平臺，這些惡意軟件負責部署一系列附加程序，如Lumma Stealer和Doenerium，這些程序能夠收集系統信息。

攻擊還采用了復雜的重定向鏈，包含四到五層，初始重定向器嵌入在非法流媒體網站的iframe元素中，傳播盜版內容。整個感染過程是一個多階段的操作，包括系統發現、信息收集，以及使用NetSupport RAT和AutoIT腳本等后續載荷來進一步竊取數據。遠程訪問木馬也充當了竊取惡意軟件的渠道。

攻擊的多個階段

• 第一階段：在目標設備上建立立足點
• 第二階段：系統偵察、數據收集和泄露，以及載荷投遞
• 第三階段：命令執行、載荷投遞、防御規避、持久化、命令與控制通信，以及數據泄露
• 第四階段：通過PowerShell腳本配置Microsoft Defender的排除項，并運行命令從遠程服務器下載數據

Power Shell腳本的使用

此次攻擊的另一個特點是使用了各種PowerShell腳本，以下載NetSupport RAT、識別已安裝的應用程序和安全軟件，特別是掃描加密貨幣錢包的存在，表明可能存在財務數據竊取行為。微軟表示：“除了信息竊取軟件外，PowerShell、JavaScript、VBScript和AutoIT腳本也在主機上運行。威脅行為者還利用了如PowerShell.exe、MSBuild.exe和RegAsm.exe等LOLBAS（Living-Off-the-Land Binaries and Scripts）進行命令控制（C2）和用戶數據及瀏覽器憑據的泄露?！?/p>

卡巴斯基揭示新型誘騙網站

與此同時，卡巴斯基揭示了假冒DeepSeek和Grok人工智能（AI）聊天機器人的虛假網站，這些網站被用來誘騙用戶安裝一種此前未被記錄在案的 Python 信息竊取程序。

在社交平臺 X（原推特）上，一些經過認證的賬號（如 @ColeAddisonTech、@gaurdevang2 和 @saduq5）所推廣的以DeekSeek為主題的誘餌網站，也被用來執行一個 PowerShell 腳本，該腳本利用安全外殼協議（SSH）讓攻擊者能夠遠程訪問用戶的電腦。

卡巴斯基表示：“網絡犯罪分子會使用各種各樣的手段，將受害者引誘至惡意資源頁面。通常情況下，指向這類網站的鏈接會通過即時通訊軟件和社交網絡進行傳播。攻擊者還可能會采用域名搶注（仿冒域名）的手段，或者通過眾多聯屬營銷計劃，購買指向惡意網站的廣告流量?！?/p>