公眾可訪問的盜版網站多年來一直面臨財務壓力。版權持有者發起的運動促使主流廣告商抵制這些平台,以切斷其收入來源。這本應使這些網站無法繼續運營,但在許多情況下,這僅僅意味著從任何仍願意投放廣告的實體那裡獲得質量較低的廣告。曾經相對安全的網站迅速變得不再安全,隨著壓力的增加,一些網站變得非常不安全。
根據上週的報導,精心設計且利潤豐厚的計劃能夠應對廣告商選擇的限制。不幸的是,這些方法還提供了一個讓詐騙和惡意活動滋生的環境,最終造成了微軟上週晚些時候報告的損害。
大規模惡意廣告活動的起源
微軟上週發布的官方報告非常詳細,根據其自身的計算,閱讀時間長達 32 分鐘。以下是關鍵細節的精華。
2024 年 12 月初,微軟威脅情報部門識別出一個大規模的惡意廣告活動,該活動目前被認為感染了近一百萬台設備,目的是竊取信息。微軟表示,這次攻擊源於非法串流網站,這些網站的嵌入式重定向器從惡意廣告平台中獲取按點擊付費的收入。
第一階段有效負載
這些詐騙網站通常會將用戶重定向到 GitHub,攻擊者在那裡托管第一階段的惡意軟件有效負載。微軟表示,這種感染通常使用新創建的證書進行數字簽名,允許攻擊者建立一個用於從其他地方獲取附加有效負載的投放器。
這些 GitHub 存儲庫已經被刪除。微軟還觀察到類似的活動,其中 Discord 和 Dropbox 也傳遞了這些有效負載。
第二、第三和第四階段有效負載
在第二階段,攻擊者進行系統發現,獲取有關主機的信息,例如內存大小、GPU 規格、屏幕分辨率、操作系統和用戶路徑等。這些信息在被竊取之前會進行 Base64 編碼,並發送到遠程 IP 地址。
微軟表示,第三階段的活動取決於第二階段有效負載中的有效負載。“執行文件和 PowerShell 腳本被丟棄,啟動了一系列命令執行、有效負載交付、防禦規避、持久性、C2 通信和數據竊取。”該公司寫道。
第四階段的詳細文檔由微軟提供,看到多個文件從各種執行文件中丟棄,執行任務,包括進程注入、遠程調試、通過各種機制進行數據竊取。一個文件確保在主機上的持久性,首先丟棄一個 AutoIT .scr 文件和一個同名的 .js(JavaScript)文件。
信息竊取手段
這種多階段方法使攻擊者能夠使用各種文件和腳本來收集系統和瀏覽器信息。微軟指出,包括 Lumma Stealer(以針對喜愛模組的玩家而聞名)和木馬 Doenerium 在內的信息竊取工具被“普遍使用”,同時還利用了受害者計算機上已安裝的軟件。
該公司補充說:“威脅行為者使用了生活在土地上的二進制文件和腳本(LOLBAS),如 PowerShell.exe、MSBuild.exe 和 RegAsm.exe,進行 C2 和用戶數據及瀏覽器憑據的數據竊取。”
緩解措施
微軟 Defender Antivirus 可以檢測這些攻擊,但微軟建議採取額外措施以更全面地減輕這類威脅。Windows 用戶應啟用篡改保護和網絡保護,使用帶有微軟 Defender SmartScreen 的網絡瀏覽器,並使用 AppLocker 限制禁止軟件。
許多版權持有者建議,避免訪問盜版網站是避免此類攻擊的最佳選擇。這在此情況下是有效的,但同樣的攻擊也可能在其他地方發生,因此應考慮更積極的措施作為可用選項之一。
基本措施包括保持軟件更新,特別是操作系統和瀏覽器,將廣告攔截器設置為最高級別,並優先使用加密的密碼管理器,而不是瀏覽器中充滿純文本憑據的情況。
備份無需解釋,如有可能,應使用虛擬機進行瀏覽。這樣可以減少感染對主系統造成破壞的機會,主系統應使用從官方來源下載的操作系統,而不是來自隨便的盜版網站。
網站和應用的安全性評估
最後,在 VirusTotal 等網站上報告的網站和應用的健康狀況可能會誤導。這並不是說這些服務毫無用處,恰恰相反。在許多情況下,前期的分數/檢測並不是合適的工具。
建議查看檢測分數以確保某個網站或軟件是安全的,應該不被重視,尤其是當更有用的信息僅需點擊一下即可獲得時。
要充分理解這個計劃的規模和範圍,以及背後人的承諾,閱讀完整報告是值得的。
台灣電話卡推介 / 韓國電話卡推介
更多儲值卡評測請即睇:SIM Card 大全
https://www.techritual.com/category/sim-card-review/
