قامت Microsoft بتخفيض عدد غير معلوم من مستودعات Github المستخدمة في حملة ضخمة ضخمة أثرت على ما يقرب من مليون جهاز في جميع أنحاء العالم.
اكتشف محللو التهديدات في الشركة هذه الهجمات في أوائل ديسمبر 2024 بعد مراقبة أجهزة متعددة لتنزيل البرامج الضارة من Github Repos ، البرامج الضارة التي تم استخدامها لاحقًا لنشر سلسلة من الحمولة الأخرى الأخرى على الأنظمة التي يتم اختراقها.
بعد تحليل الحملة ، اكتشفوا أن المهاجمين حقنوا الإعلانات في مقاطع فيديو على مواقع البث الإلكترونية غير القانونية التي تعيد توجيه الضحايا المحتملين إلى مستودعات جيثبور الخبيثة تحت سيطرتهم.
“The streaming websites embedded malvertising redirectors within movie frames to generate pay-per-view or pay-per-click revenue from malvertising platforms,” شرح Microsoft اليوم. “These redirectors subsequently routed traffic through one or two additional malicious redirectors, ultimately leading to another website, such as a malware or tech support scam website, which then redirected to GitHub.”
أعادت مقاطع الفيديو المخصصة لإعادة توجيه المستخدمين إلى Github Repos التي أصابتهم بالبرامج الضارة المصممة لأداء اكتشاف النظام ، وجمع معلومات نظام مفصلة (على سبيل المثال ، حجم الذاكرة ، وتفاصيل الرسم ، ودقة الشاشة ، ونظام التشغيل (OS) ، ومسارات المستخدمين) ، واختفاء البيانات التي تم حصادها أثناء نشر أحمال مرحلة تدوم إضافية.
يقوم حمولة نصية PowerShell من المرحلة الثالثة بتنزيل NetSupport Access Access Trojan (RAT) من خادم القيادة والسيطرة ويؤسس الثبات في السجل للفئران. بمجرد تنفيذها ، يمكن للبرامج الضارة أيضًا نشر البرامج الضارة لسرقة معلومات LUMMA والمصادر المفتوحة”https://github.com/antivirusevasion69/doenerium” الهدف=”_blank” rel=”nofollow noopener”> دوريوم infostealer للاختراق بيانات المستخدم وبيانات اعتماد المتصفح.
من ناحية أخرى ، إذا كان الحمولة الثالثة من المرحلة الثالثة عبارة عن ملف قابل للتنفيذ ، فإنه يقوم بإنشاء ملف CMD ويديره أثناء إسقاط مترجم تلقائي تلقائيًا مع امتداد .com. هذا المكون التلقائي يقوم بعد ذلك بإطلاق الثنائي وقد يسقط نسخة أخرى من مترجم تلقائي مع امتداد .SCR. يتم نشر ملف JavaScript أيضًا للمساعدة في تنفيذ واكتساب الثبات لملفات .SCR.
في المرحلة الأخيرة من الهجوم ، تستخدم الحمولات التلقائية لريغاس أو باورشيل لفتح الملفات ، وتمكين تصحيح تصحيح المستعرض عن بُعد ، وإخماد معلومات إضافية. في بعض الحالات ، يتم استخدام PowerShell أيضًا لتكوين مسارات الاستبعاد لمدافع Windows أو لإسقاط المزيد من حمولات NetSupport.
على الرغم من أن Github كان المنصة الأساسية لاستضافة الحمولات التي يتم تسليمها خلال المرحلة الأولى من الحملة ، فقد لاحظ Microsoft That Intelligence أيضًا حمولات نارية مستضافة على Dropbox و Discord.
“This activity is tracked under the umbrella name Storm-0408 that we use to track numerous threat actors associated with remote access or information-stealing malware and who use phishing, search engine optimization (SEO), or malvertising campaigns to distribute malicious payloads,” قالت مايكروسوفت.
“The campaign impacted a wide range of organizations and industries, including both consumer and enterprise devices, highlighting the indiscriminate nature of the attack.”
تقرير مايكروسوفت”https://www.microsoft.com/en-us/security/blog/2025/03/06/malvertising-campaign-leads-to-info-stealers-hosted-on-github/” الهدف=”_blank” rel=”nofollow noopener”> يوفر معلومات إضافية وأكثر تفصيلاً فيما يتعلق بالمراحل المختلفة للهجمات والحمولة المستخدمة عبر سلسلة الهجوم متعددة المراحل في حملة مراوغات معقدة هذه.