بیش از یک میلیون رایانه شخصی از طریق یک کمپین عظیم تبلیغات مخرب (malvertising) به بدافزارهای سرقت اطلاعات (infostealers) آلوده شدهاند؛ این موضوع در تحقیقات جدید محققان امنیتی مایکروسافت فاش شده است.
این کمپین از سایتهای استریم غیرقانونی (پخش غیرمجاز) شروع میشود، جایی که کاربران محتوای دزدی شده را تماشا میکنند. به نظر میرسد که مجرمان سایبری تبلیغاتی را به این ویدئوها تزریق کردهاند که بازدیدکنندگان را از طریق زنجیرهای از تغییر مسیرها (redirects) هدایت کرده و در نهایت به یکی از مخازن (repository) متعدد GitHub که تحت کنترل مهاجمان است، میرساند.
در آنجا، قربانیان اولین بدافزار (payload) را دانلود میکنند که اطلاعات مربوط به سیستم (مانند دادههای سیستمعامل، وضوح صفحهنمایش، اندازه حافظه و غیره) را شناسایی کرده و به سروری تحت کنترل مهاجمان ارسال میکند. سپس، همزمان بدافزار مرحله دوم (second-stage payload) را نیز اجرا میکند.
بدافزار مرحله دوم (second-stage payload) به دستگاه آلوده بستگی دارد. در برخی موارد، این بدافزار شامل یک تروجان دسترسی از راه دور (RAT) به نام NetSupport است که پس از آن، بدافزارهای سرقت اطلاعات Lumma Stealer یا Doenerium اجرا میشوند. این بدافزارها میتوانند اطلاعات ورود به سیستم (login)، اطلاعات مربوط به ارزهای دیجیتال، جزئیات بانکی و موارد دیگر را سرقت کنند.
در سایر موارد، بدافزار یک فایل اجرایی (executable) را دانلود میکند که یک CMD را اجرا کرده و یک مفسر AutoIt با پسوند .com را با نام تغییر یافته در سیستم ذخیره میکند.
سپس AutoIt چند مرحله اضافی را اجرا میکند که در نهایت به همان نتیجه ختم میشود – یعنی سرقت و انتقال فایلهای حساس از سیستم هدف.
در بیشتر موارد، این بدافزارها در GitHub میزبانی شده بودند و مایکروسافت اعلام کرد که تعداد نامشخصی از این مخازن (repositories) را حذف کرده است. با این حال، بدافزارها روی Dropbox و Discord نیز میزبانی شده بودند. مایکروسافت این کمپین را به هیچ عامل تهدید خاصی نسبت نداد اما اعلام کرد که قربانیان در صنایع مختلفی شناسایی شدهاند.
مایکروسافت گفت:
"این فعالیت تحت نام کلی Storm-0408 ردیابی میشود؛ نامی که ما برای شناسایی چندین عامل تهدید مرتبط با بدافزارهای دسترسی از راه دور یا سرقت اطلاعات و همچنین کمپینهای فیشینگ، بهینهسازی موتور جستجو (SEO) یا تبلیغات مخرب (malvertising) برای انتشار بدافزارهای مخرب استفاده میکنیم."