СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Новости
Артем
7 марта
#Dev#ИБ#Инфра

В Microsoft заявили о массовой хакерской атаке, затронувшей почти 1 млн ПК

В Microsoft заявили о массовой хакерской атаке, затронувшей почти 1 млн ПК

Изображение: recraft

Корпорация Microsoft ликвидировала неизвестное число репозиториев GitHub, которые применялись в крупной вредоносной рекламной атаке, охватившей около 1 млн компьютеров по всему миру.

Специалисты по кибербезопасности компании выявили эти атаки в начале декабря 2024 года. Они зафиксировали, что ряд устройств загружал вредоносное ПО из репозиториев на GitHub, после чего на инфицированных системах активировался механизм распространения дополнительных зловредных компонентов.

Исследовав схему атаки, эксперты выяснили, что преступники использовали рекламные вставки в видеороликах на нелегальных стриминговых сайтах. Эти ролики перенаправляли пользователей на вредоносные репозитории, находившиеся под контролем злоумышленников.

В Microsoft отметили, что потоковые ресурсы встраивали рекламные редиректы прямо в кадры фильмов, что позволяло киберпреступникам зарабатывать на просмотрах или кликах через вредоносные рекламные платформы. Попав в ловушку, жертвы подвергались серии перенаправлений, в итоге оказываясь на ресурсах, распространяющих вредоносные программы или мошеннические сайты техподдержки, которые далее выводили их на GitHub.

Попав в репозитории, пользователи сталкивались с заражением вредоносным кодом, который сканировал систему, собирая информацию о характеристиках компьютера. В списке данных, подлежащих передаче злоумышленникам, значились сведения о размере оперативной памяти, графических параметрах, разрешении экрана, версии ОС и пользовательских каталогах. Одновременно происходило развёртывание дополнительных вредоносных модулей.

Следующий этап атаки предполагал запуск через PowerShell трояна удалённого доступа NetSupport (RAT), загружаемого с сервера управления. Для обеспечения устойчивости заражения вредоносный код вносил изменения в системный реестр.

После успешного выполнения вредоносная программа могла активировать дополнительное ПО для кражи данных — Lumma и Doenerium, ориентированные на извлечение пользовательских сведений и сохранённых в браузерах учётных данных.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: