Microsoft telah mengungkapkan rincian kampanye malvertis berskala besar yang diperkirakan berdampak lebih dari satu juta perangkat secara global sebagai bagian dari apa yang dikatakannya adalah serangan oportunistik yang dirancang untuk mencuri informasi sensitif.
Raksasa teknologi, yang mendeteksi aktivitas pada awal Desember 2024, melacaknya di bawah payung yang lebih luas Storm-0408, seorang moniker yang digunakan untuk serangkaian aktor ancaman yang diketahui mendistribusikan akses jarak jauh atau malware mencuri informasi melalui phishing, optimasi mesin pencari (SEO), atau pembedahan.
“Serangan itu berasal dari situs web streaming ilegal yang tertanam dengan redirektor malvertising, yang mengarah ke situs web perantara di mana pengguna kemudian diarahkan ke Github dan dua platform lainnya,” kata tim intelijen Ancaman Microsoft.
“Kampanye ini berdampak pada berbagai organisasi dan industri, termasuk perangkat konsumen dan perusahaan, menyoroti sifat serangan tanpa pandang bulu.”
Aspek paling signifikan dari kampanye ini adalah penggunaan GitHub sebagai platform untuk memberikan muatan akses awal. Setidaknya dalam dua contoh terisolasi lainnya, muatan telah ditemukan dihosting di Discord dan Dropbox. Repositori GitHub sejak itu telah diturunkan. Perusahaan tidak mengungkapkan berapa banyak repositori tersebut yang dihapus.
Layanan hosting kode milik Microsoft bertindak sebagai tempat pementasan untuk malware penetes yang bertanggung jawab untuk menggunakan serangkaian program tambahan seperti Lumma Stealer dan Doenerium, yang, pada gilirannya, mampu mengumpulkan informasi sistem.
Serangan itu juga menggunakan rantai pengalihan canggih yang terdiri dari empat hingga lima lapisan, dengan redirektor awal yang tertanam dalam elemen iframe di situs web streaming ilegal yang melayani konten bajakan.
Urutan infeksi keseluruhan adalah proses multi-tahap yang melibatkan penemuan sistem, pengumpulan informasi, dan penggunaan muatan lanjutan seperti skrip Netsupport Rat dan Autoit untuk memfasilitasi lebih banyak pencurian data. Trojan akses jarak jauh juga berfungsi sebagai saluran untuk pencuri malware.
- Tahap pertama – buat pijakan pada perangkat target
- Tahap Kedua – Pengintaian Sistem, Pengumpulan, dan Exfiltrasi, dan Pengiriman Muatan
- Tahap Ketiga-Eksekusi perintah, pengiriman muatan, penghindaran defensif, kegigihan, komunikasi perintah dan kontrol, dan exfiltrasi data
- Tahap Keempat – Skrip PowerShell Untuk mengonfigurasi Pengecualian Microsoft Defender dan menjalankan perintah untuk mengunduh data dari server jarak jauh
Karakteristik lain dari serangan tersebut menyangkut penggunaan berbagai skrip PowerShell untuk mengunduh tikus Netsupport, mengidentifikasi aplikasi yang diinstal dan perangkat lunak keamanan, secara khusus memindai kehadiran dompet cryptocurrency, yang menunjukkan potensi pencurian data keuangan.
“Selain pencuri informasi, PowerShell, Javascript, VBScript, dan skrip Autoit dijalankan pada host,” kata Microsoft. “Aktor ancaman menggabungkan penggunaan biner dan skrip hidup-di luar (LOLBA) seperti Powershell.exe, msbuild.exe, dan regasm.exe untuk C2 dan exfiltrasi data dari data pengguna dan kredensial browser.”
Pengungkapan datang ketika Kaspersky mengungkapkan bahwa situs web palsu yang menyamar sebagai chatbots Intelligence Buatan (AI) Deepseek dan Grok digunakan untuk menipu pengguna agar memasang pencuri informasi Python yang sebelumnya tidak berdokumen.
Situs umpan bertema Deekseek yang diiklankan oleh akun terverifikasi pada X (misalnya, @coleaddisontech, @gaurdevang2, dan @sAsuq5) juga telah digunakan untuk menjalankan skrip PowerShell yang menggunakan SSH untuk memberikan penyerang akses jarak jauh ke komputer.
“Penjahat dunia maya menggunakan berbagai skema untuk memikat korban untuk sumber daya berbahaya,” kata perusahaan keamanan siber Rusia. “Biasanya, tautan ke situs tersebut didistribusikan melalui utusan dan jejaring sosial. Penyerang juga dapat menggunakan pengetikan atau membeli lalu lintas iklan ke situs berbahaya melalui berbagai program afiliasi. “
