Microsoft осуетиха масивна малвъртайзинг кампания
Microsoft оповестиха, че са деактивирала голяма малвъртайзинг интервенция, засегнала близо милион системи по целия свят. Малвъртайзингът съставлява доставянето на зловредна реклама (от англ.: malware и advertising). В множеството случаи става въпрос за подлъгващи рекламни известия, уеб сайтове, които ви споделят, че компютърът ви е инфектиран и би трябвало да се „ почисти и би трябвало да кликнете и извършите файл. Но въпреки и в редки случаи, като да вземем за пример този, болестите са във формата на drive-by download тип. Тоест от жертвата не се изисква да извърши съответно деяние (като осъществяване на файл), с цел да бъде инфектирана системата.
Това, което прави усещане в акцията на съответната незаконна група Storm-0408 (по конвенцията на Microsoft) е, че става дума за комплицирана и добре готова акция. Тя включва няколко съответни стадия, водещи до автоматизираното осъществяване на злотворен код и кражбата на информация. А след това и до завладяването на системата.
Основната площадка на деяние на Storm-0408 се явяват уеб сайтове за противозаконен стрийминг на видео. А първичният вектор на офанзива е код, прикрит в незабележим iFrame в самите видеа. Подобни iFrame съставни елементи се употребяват чест она такива платформи за спомагателна монетизация на стриймваното наличие (изскачащи прозорци при клик върху главния екран, отваряне на външни уеб сайтове и под.). Следва в началото пренасочване, което води към уебсайт, който смъква на системата скриптове, които я профилират. В взаимозависимост от съответните нейни характерности се смъква и следващ код. Той дава отговор за установяването на командна връзка с операторите на акцията, обезпечаване на трайно наличие в системата и други Последният стадий включва пренасочване към GitHub и drive-by събаряне на същинския злотворен код, който след това смъква на собствен ред известни зловредни стратегии. В случая, най-често това са стратегии за кражба на информация, като Doenerium или Lumma. А в някои случаи и NetSupport – стратегия за отдалечено администриране на компютърни системи.
Кампанията на киберпрестъпниците е била в ход от началото на декември предходната година. В допълнение, Microsoft означават, че от нея са потърпевши, както персонални системи, по този начин и корпоративни мрежи. А с изключение на складове в GitHub, като главен източник на офанзивите, са употребявани облачни сметки в Dropbox и Discord. Пълният отчет на Microsoft, както и механически разбор и знаци на компрометиране (IoCs), може да намерите тук.
