Близо милион устройства с Windows са били обект на нов тип кибератака

В днешния дигитален свят киберзаплахите продължават да се развиват и усъвършенстват, представлявайки нарастваща опасност за организации и крайни потребители. Нови атаки се появяват ежедневно, използвайки различни методи за проникване и компрометиране на системи, което води до загуба на чувствителна информация, финансови щети и нарушаване на нормалното функциониране на критични услуги.

Така например наскоро научихме, че през последните месеци близо 1 млн. устройства с Windows са били обект на сложна кампания за злонамерена реклама (malvertising), която тайно е откраднала данни за вход, криптовалута и друга чувствителна информация от заразените машини.

Кампанията е започнала през декември, когато нападателите, които остават неизвестни, са поставили връзки в сайтове, които изтеглят реклами от злонамерени сървъри. Връзките препращат целевите машини през няколко посреднически сайта, докато накрая стигнат до хранилища в притежавания от Microsoft GitHub, където са разположени множество зловредни файлове.

Зловредният софтуер е бил зареден на четири етапа, като всеки от тях е бил градивен елемент за следващия. Ранните етапи са събирали информация за устройствата, вероятно за да се адаптират конфигурациите за по-късните етапи. По-късните етапи деактивират приложенията за откриване на зловреден софтуер и се свързват със сървъри за управление и контрол, като засегнатите устройства остават заразени дори след рестартиране.

На втория етап на компрометираното устройство се пускат един или няколко изпълними файла, а понякога и придружаващ ги кодиран PowerShell скрипт. Тези файлове инициират верига от събития, които провеждат изпълнение на команди, доставка на полезен товар, избягване на защитни мерки, устойчивост, C2 комуникации и ексфилтрация на данни.

Кампанията е била насочена към близо милион устройства, принадлежащи както на физически лица, така и на широк кръг организации и индустрии. GitHub е платформата, използвана основно за хостване на етапите на зловредния полезен товар, но са използвани също Discord и Dropbox.

Зловредният софтуер открива ресурсите на заразения компютър и ги изпраща на сървъра c2 на нападателя. Файловете, съхранявани в облачната услуга OneDrive на Microsoft, също са били обект на атака. Зловредният софтуер също така е проверявал за наличието на портфейли за криптовалути, включително Ledger Live, Trezor Suite, KeepKey, BCVault, OneKey и BitBox.

Microsoft Defender вече открива файловете, използвани при атаката, и вероятно и други приложения за защита от зловреден софтуер имат подобни възможности.