ADVERTISEMENT
微軟近日發布警告,指出一場複雜的「惡意廣告」(malvertising)活動在過去幾個月內鎖定了近 100 萬台 Windows 設備,目標是竊取受感染機器的登入憑證、加密貨幣錢包等敏感資訊。這場活動始於去年 12 月,攻擊者透過在網站上植入惡意連結,誘騙使用者下載惡意程式。
攻擊手法與事件鏈
攻擊者首先在網站上植入連結,這些連結會將使用者導向多個中間網站,最終到達微軟旗下的 Github 儲存庫,該儲存庫託管了大量的惡意檔案。這個惡意軟體會分四個階段載入,每個階段都扮演著構建模組的角色,逐步擴大攻擊範圍。
- 早期階段: 收集設備資訊,可能用於客製化後續階段的配置。
- 中期階段: 禁用惡意軟體檢測應用程式,並連接到命令和控制伺服器(C2)。
- 後期階段: 將一個或多個可執行檔丟到受感染的設備上,並執行一系列命令,包括有效載荷傳遞、防禦規避、持久化、C2 通訊和資料外洩。即使重新啟動後,受影響的設備仍然處於感染狀態。
攻擊目標與資料竊取
這次攻擊的目標廣泛,涵蓋個人以及各種組織和行業。這種不分青紅皂白的做法表明,這是一場機會主義的活動,旨在誘捕任何可能的使用者,而不是針對特定的個人、組織或行業。
被竊取的資料包括儲存在受感染電腦上的瀏覽器檔案,這些檔案可能包含登入 Cookie、密碼、瀏覽歷史記錄和其他敏感資料。具體路徑如下:
\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\.default-release\\cookies.sqlite\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\.default-release\\formhistory.sqlite\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\.default-release\\key4.db\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\.default-release\\logins.json\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\Web Data\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\Login Data\\AppData\\Local\\Microsoft\\Edge\\User Data\\Default\\Login Data
此外,儲存在微軟 OneDrive 雲端服務上的檔案也成為攻擊目標。微軟表示,該惡意軟體還會檢查是否存在加密貨幣錢包,包括 Ledger Live、Trezor Suite、KeepKey、BCVault、OneKey 和 BitBox,這表明攻擊者有竊取金融資料的意圖。
惡意廣告來源與防禦措施
微軟懷疑託管惡意廣告的網站是提供未經授權內容的串流媒體平台,例如 movies7[.]net 和 0123movie[.]art。目前,Microsoft Defender 已經可以檢測到攻擊中使用的檔案,其他惡意軟體防禦應用程式也可能具備相同能力。
微軟建議使用者查看其文章末尾的入侵指標,並採取預防措施,以避免成為類似惡意廣告活動的受害者。
- 資料來源: arstechnica
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!