Microsoft heeft een onbekend aantal GitHub-repositories offline gehaald die werden gebruikt in een grootschalige malvertising-campagne, waarbij bijna een miljoen apparaten wereldwijd werden getroffen.
De dreigingsanalisten van het bedrijf ontdekten deze aanvallen begin december 2024, meldt BleepingCompouter. Dit gebeurde nadat ze zagen dat meerdere apparaten malware downloadden vanuit GitHub-repositories. Deze malware gebruikten criminelen vervolgens om een reeks aanvullende schadelijke programma’s op geïnfecteerde systemen te installeren.
Geïnjecteerde advertenties in video’s
Na analyse van de campagne ontdekten de onderzoekers dat de aanvallers advertenties injecteerden in video’s op illegale streamingwebsites. Deze advertenties leidden potentiële slachtoffers door naar kwaadaardige GitHub-repositories. Die stonden onder controle van de aanvallers.
Microsoft legde uit dat streamingwebsites malvertising-omleidingen verwerkten in filmbeelden om inkomsten te genereren via pay-per-view of pay-per-click op malvertisingplatforms. Deze omleidingen stuurden het verkeer vervolgens door via een of twee extra kwaadaardige omleidingen. Die leidden uiteindelijk naar een andere website, zoals een malware- of tech support scam-website, en verwees vervolgens door naar GitHub.
Malvertising-video’s leidden naar GitHub
De malvertising-video’s leidden gebruikers zo naar de GitHub-repositories, waar ze besmet raakten met malware die systeeminformatie verzamelde. Denk aan geheugenomvang, grafische details, schermresolutie, besturingssysteem en gebruikerspaden. De malware stal deze gegevens en installeerde aanvullende schadelijke software in een volgende fase.
Een PowerShell-script in de derde fase van de aanval downloadde de NetSupport Remote Access Trojan (RAT) vanaf een command-and-control-server en zorgde ervoor dat deze in het register werd verankerd. Zodra de RAT actief was, kon deze ook de Lumma-informatiedief en de open-source Doenerium-malware installeren. Dit om gebruikersgegevens en browsergegevens te stelen.
Als de derde fase in plaats daarvan een uitvoerbaar bestand was, werd er een CMD-bestand aangemaakt en uitgevoerd. Terwijl een AutoIt-interpreter met een .com-extensie werd geplaatst. Dit AutoIt-component startte het binaire bestand en kon mogelijk een andere versie van de interpreter met een .scr-extensie plaatsen. Ook werd een JavaScript-bestand ingezet om de uitvoer en persistentie van .scr-bestanden te ondersteunen.
In de laatste fase van de aanval gebruikten de AutoIt-componenten RegAsm of PowerShell om bestanden te openen, externe browserdebugging in te schakelen en aanvullende informatie te stelen. In sommige gevallen gebruikte men PowerShell ook om uitsluitingspaden voor Windows Defender in te stellen of om extra NetSupport-malware te installeren.
Hoewel GitHub het primaire platform was voor de verspreiding van de eerste fase van de aanval, zag Microsoft Threat Intelligence ook schadelijke bestanden die werden gehost op Dropbox en Discord.
Microsoft verklaarde dat deze activiteit wordt gevolgd onder de naam Storm-0408, een overkoepelende term die men gebruikt om meerdere dreigingsactoren in kaart te brengen die zich bezighouden met het verspreiden van remote access- of informatiestelende malware via phishing, zoekmachineoptimalisatie (SEO) of malvertising-campagnes.
Breed scala aan organisaties
De campagne trof een breed scala aan organisaties en sectoren, en zowel consumentenapparaten als bedrijfsnetwerken, wat de willekeurige aard van de aanval benadrukt, stelde Microsoft.
Het rapport van Microsoft bevat aanvullende en meer gedetailleerde informatie over de verschillende fasen van de aanvallen en de gebruikte malware in deze complexe malvertising-campagne.