Situs bajak laut publik yang dapat diakses oleh siapa pun dengan browser internet telah berada di bawah tekanan keuangan selama bertahun -tahun.
Kampanye yang dipimpin Rightsholder mendesak pengiklan arus utama untuk memboikot platform untuk memotong aliran pendapatan mereka. Ini seharusnya membuat situs keluar dari bisnis tetapi dalam banyak kasus yang berarti penyebaran iklan berkualitas lebih rendah dari entitas apa pun yang masih siap untuk menempatkannya. Situs yang dulu relatif aman dengan cepat menjadi relatif Tidak aman dan, ketika tekanan meningkat, beberapa menjadi sangat tidak aman.
Seperti yang dilaporkan minggu lalu, skema yang rumit dan menguntungkan dapat melawan batasan pada pilihan pengiklan. Sayangnya, metode ini juga menyediakan lingkungan di mana penipuan dan aktivitas berbahaya berkembang berkembang, sebelum melakukan kerusakan yang dilaporkan oleh Microsoft akhir pekan lalu.
Kampanye malvertis berskala besar dimulai di situs streaming bajak laut
Laporan resmi Microsoft yang diterbitkan minggu lalu sangat rinci dan dengan akuntansi sendiri, bacaan 32 menit penuh. Kami akan menyaring detail utama di sini.
Awal Desember 2024, Microsoft Ancaman Intelijen mengidentifikasi kampanye malvertis berskala besar yang sekarang diyakini terinfeksi hampir satu juta perangkat untuk tujuan mencuri informasi.
Microsoft mengatakan bahwa serangan itu berasal dari situs streaming ilegal di mana redirektor tertanam menghasilkan pendapatan bayar-per-view/bayar per-klik dari platform malvertising.
“Redirektor ini kemudian merutekan lalu lintas melalui satu atau dua redirektor berbahaya tambahan, yang pada akhirnya mengarah ke situs web lain, seperti situs web penipuan dukungan malware atau teknis,” Microsoft menjelaskan.
Itu baru permulaan.
Payload tahap pertama
Situs web penipuan tersebut biasanya mengarahkan pengguna ke GitHub di mana para penyerang menjadi tuan rumah muatan malware tahap pertama. Seringkali ditandatangani secara digital dengan sertifikat yang baru dibuat, Microsoft mengatakan infeksi ini memungkinkan para penyerang untuk membuat penetes untuk muatan tambahan yang diselenggarakan di tempat lain.
Repo GitHub sejak itu telah diturunkan. Microsoft mengatakan juga mengamati aktivitas serupa di mana Discord dan Dropbox mengirimkan muatan.
Payload kedua, ketiga, dan keempat
Selama tahap kedua para penyerang yang terlibat dalam penemuan sistem, mendapatkan informasi tentang host; Ukuran memori, spesifikasi GPU, resolusi layar, sistem operasi, dan jalur pengguna, misalnya. Informasi tersebut dikodekan 64 sebelum dikeluarkan ke alamat IP jarak jauh.
Microsoft mengatakan bahwa aktivitas pada tahap ketiga tergantung pada muatan dalam muatan tahap kedua. “Skrip yang dapat dieksekusi dan PowerShell dijatuhkan, memulai rantai eksekusi komando, pengiriman muatan, penghindaran pertahanan, kegigihan, komunikasi C2, dan exfiltrasi data,” tulis perusahaan.
Tahap keempat, yang didokumentasikan dengan detail yang luar biasa oleh Microsoft, melihat banyak file yang dijatuhkan dari berbagai dapat dieksekusi, melakukan tugas-tugas termasuk injeksi proses, debugging jarak jauh, exfiltrasi data melalui berbagai mekanisme. Satu file memastikan kegigihan pada host dengan terlebih dahulu menjatuhkan file autoit .scr dan .js (javascript) dengan nama yang sama.
“Tujuan dari file JavaScript adalah untuk memastikan kegigihan dengan membuat pintasan internet .url yang menunjuk ke file JavaScript dan ditempatkan di folder startup, memastikan bahwa file .scr dijalankan ketika file .js dieksekusi (melalui wscript.exe) pada pengguna masuk,” lapor Microsoft.
Mekanisme tambahan juga tersedia, termasuk yang membangun koneksi jaringan ke Telegram dan Let's Encrypt, antara lain.
“File .scr dapat memulai koneksi C2, mengaktifkan debugging jarak jauh di Chrome atau Edge dalam sesi desktop tersembunyi, atau membuat soket mendengarkan TCP di port 9220-9229.
“Fungsionalitas ini memungkinkan aktor ancaman untuk memantau aktivitas penelusuran dan berinteraksi dengan instance browser aktif. File-file ini juga dapat membuka file data sensitif, menunjukkan peran mereka dalam memfasilitasi aktivitas pasca-eksploitasi.”
Mencuri informasi
Pendekatan multi-tahap melihat penyerang menggunakan berbagai file dan skrip untuk mengumpulkan informasi sistem dan browser. Pencuri informasi termasuk Lumma Stealer, yang dikenal karena menargetkan gamer dengan kegemaran untuk mod, dan Trojan Doenerium “biasanya digunakan” menurut Microsoft, di samping penggunaan perangkat lunak yang sudah dipasang pada mesin korban.
“Aktor ancaman menggabungkan penggunaan biner dan skrip yang hidup-di luar (LOLBA) seperti PowerShell.exe, msbuild.exe, dan regasm.exe untuk C2 dan exfiltrasi data dari data pengguna dan kredensial browser,” tambah perusahaan.
Mitigasi
Microsoft Defender Antivirus mendeteksi serangan ini, tetapi Microsoft merekomendasikan tindakan tambahan untuk mengurangi sepenuhnya jenis ancaman ini. Pengguna Windows harus mengaktifkan perlindungan tamper dan perlindungan jaringan, menggunakan browser web dengan Microsoft Defender SmartScreen, dan menggunakan applocker untuk membatasi perangkat lunak yang dilarang.
Banyak pemegang kanan akan menyarankan untuk tidak pernah mengunjungi situs bajak laut sebagai pilihan terbaik untuk menghindari jenis serangan ini. Itu akan berhasil di sini, tetapi serangan yang sama bisa terjadi di tempat lain juga, sehingga pendekatan yang lebih proaktif juga harus dianggap sebagai salah satu opsi yang tersedia.
Dasar -dasar termasuk menjaga perangkat lunak yang diperbarui, sistem operasi dan browser khususnya, pemblokir iklan yang baik naik hingga 11, dan penggunaan manajer kata sandi terenkripsi sebagai preferensi ke browser yang penuh dengan kredensial teks biasa.
Cadangan tidak memerlukan penjelasan dan jika memungkinkan, mesin virtual harus digunakan untuk menjelajah. Ini mengurangi kemungkinan infeksi yang menyebabkan kekacauan pada sistem utama, yang seharusnya menggunakan OS yang diunduh dari sumber resmi, bukan situs bajak laut acak.
Akhirnya, tagihan kesehatan yang bersih untuk situs dan aplikasi yang dilaporkan di situs -situs seperti Virustotal bisa menyesatkan. Itu bukan karena layanan ini tidak berguna, jauh dari itu. Dalam banyak kasus, skor/deteksi dimuka bukan alat yang tepat untuk pekerjaan itu.
Saran untuk melihat skor deteksi untuk jaminan bahwa situs atau sepotong perangkat lunak dijamin aman, tidak boleh diberi bobot, terutama ketika informasi yang lebih berguna hanya dengan klik.
Untuk sepenuhnya menghargai skala dan ruang lingkup skema dan komitmen orang -orang di belakangnya, ada baiknya membaca laporan lengkap.