Microsoft: تعرض ما يقرب من مليون جهاز للهجوم بواسطة برامج ضارة منتشرة من خلال الإعلانات على مواقع البث غير القانونية

إذا كنت ستزور موقع ويب يستضيف مقاطع فيديو مقرصنة، فمن الأفضل أن تكون مستعدًا لقبول المخاطر. ربما لم يأخذ أصحاب المليون جهاز المتأثر بالبرامج الضارة الناشئة من هذه المواقع هذا الأمر بعين الاعتبار. وكتبت مايكروسوفت أن فريق تحليل التهديدات التابع لها اكتشف حملة إعلانية ضارة واسعة النطاق في ديسمبر 2024، أثرت على ما يقرب من مليون جهاز حول العالم.

تتبعت الشركة موقعين غير قانونيين للبث المباشر - movie7 و0123movie - إلى معيدي التوجيه المضمنين للإعلانات الضارة. قام المهاجمون بإدخال إعلانات في مقاطع الفيديو المستضافة على موقع الويب. تولد هذه الإعلانات إيرادات الدفع لكل عرض أو الدفع لكل نقرة من النظام الأساسي للإعلانات الضارة ومن ثم توجيه حركة المرور من خلال واحد أو اثنين من أدوات إعادة التوجيه الضارة الإضافية.

يتم توجيه الضحايا في النهاية إلى موقع ويب آخر، مثل موقع احتيال الدعم الفني، ثم تتم إعادة توجيههم إلى GitHub.

تمت الآن إزالة مستودع GitHub، الذي كان يضم البرامج الضارة المستخدمة لنشر المزيد من الملفات والبرامج النصية الضارة. بمجرد قيام شخص ما بتنزيل البرامج الضارة، يتم استخدامها لجمع معلومات النظام ونشر حمولات المرحلة الثانية لسرقة المستندات والبيانات.

تقوم حمولة البرنامج النصي PowerShell للمرحلة الثالثة بعد ذلك بتنزيل NetSupport Remote Access Trojan (RAT) من خادم الأوامر والتحكم وتعيين الثبات في السجل. يمكن لـ RATs تقديم برامج Lumma الضارة لسرقة المعلومات أو الإصدارات المحدثة من برنامج Doenerium لسرقة المعلومات.

تسمح البرامج الضارة أيضًا للمهاجمين بمراقبة أنشطة التصفح الخاصة بالضحية وحتى التفاعل مع المتصفحات النشطة، بما في ذلك Firefox وChrome وEdge.

يتم توقيع حمولة المرحلة الأولى رقميًا باستخدام شهادة تم إنشاؤها حديثًا وتحتوي على بعض الملفات الشرعية لإخفاء طبيعتها الحقيقية. تم تحديد إجمالي 12 شهادة مختلفة، وتم إبطالها جميعًا لاحقًا.

في حين أن GitHub هو النظام الأساسي الأساسي لتوصيل هذه الحمولات، فقد اكتشفت Microsoft أيضًا أنه تمت استضافة حمولة واحدة على Discord وأخرى على Dropbox. كما هو الحال مع GitHub، تمت إزالة صفحات الويب التي تستضيف البرامج الضارة على هذه الأنظمة الأساسية.

وكتبت مايكروسوفت أن الحملة كانت عشوائية وأثرت على أجهزة المستهلكين والشركات. لاحظت Microsoft أيضًا أن برنامج Microsoft Defender لنظام التشغيل Windows قادر على اكتشاف البرامج الضارة المستخدمة في الهجمات والإبلاغ عنها.