近百万Windows设备遭受复杂“恶意广告”攻击

微软近期披露，近几个月来，近百万台Windows设备成为一场复杂的“恶意广告”攻击的目标。该攻击通过隐秘手段窃取受感染设备的登录凭证、加密货币及其他敏感信息。

攻击概述

攻击始于2023年12月，攻击者身份尚未明确。他们在网站上植入链接，从恶意服务器下载广告。这些链接通过多个中间站点引导目标设备，最终指向托管在微软GitHub平台上的恶意文件库。

攻击链分析

恶意软件通过四个阶段加载，每个阶段为下一个阶段奠定基础。早期阶段收集设备信息，可能是为了为后续阶段定制配置。后期阶段则禁用恶意软件检测应用并连接到命令与控制服务器；受感染设备即使在重启后仍保持感染状态。

微软研究人员指出，根据第二阶段的载荷，可能会在受感染设备上放置一个或多个可执行文件，有时还会附带编码的PowerShell脚本。这些文件启动了一系列事件，包括命令执行、载荷交付、防御规避、持久性、C2通信和数据外泄。

攻击范围与目标

该攻击针对近百万台设备，包括个人用户和各类组织及行业。这种无差别攻击方式表明攻击是机会主义的，旨在捕捉任何可能的受害者，而非特定个体、组织或行业。GitHub是主要的恶意载荷托管平台，但Discord和Dropbox也被使用。

数据外泄

恶意软件定位受感染计算机上的资源，并将其发送到攻击者的C2服务器。外泄的数据包括以下浏览器文件，这些文件可能存储登录Cookie、密码、浏览历史记录和其他敏感数据：

• Firefox的cookies.sqlite、formhistory.sqlite、key4.db、logins.json文件
• Chrome的Web Data、Login Data文件
• Edge的Login Data文件

此外，微软的OneDrive云存储服务中的文件也成为目标。恶意软件还检查是否存在Ledger Live、Trezor Suite、KeepKey、BCVault、OneKey和BitBox等加密货币钱包，表明可能存在财务数据盗窃。

恶意广告来源

微软怀疑托管恶意广告的网站是提供未经授权内容的流媒体平台，其中包括movies7[.]net和0123movie[.]art等域名。

防御措施

微软Defender现已能够检测到攻击中使用的文件，其他恶意软件防御应用可能也具备相同能力。怀疑自己可能成为目标的用户可以在微软博客末尾查看入侵指标。博客中还提供了用户可采取的步骤，以防止成为类似恶意广告攻击的受害者。