Microsoft: σχεδόν ένα εκατομμύριο συσκευές θύματα malware, μέσω διαφημίσεων σε παράνομα streaming sites

[nnn]

Η Microsoft αναφέρει ότι η ομάδα ανάλυσης απειλών της εντόπισε μια κακόβουλη διαφημιστική εκστρατεία μεγάλης κλίμακας που επηρέασε σχεδόν ένα εκατομμύριο συσκευές παγκοσμίως τον Δεκέμβριο του 2024.

Η εταιρεία εντόπισε την επίθεση σε δύο ιστότοπους παράνομης ροής - movies7 και 0123movie - που είχαν ενσωματωμένους malvertising redirectors. Οι επιτιθέμενοι εισήγαγαν τις διαφημίσεις σε βίντεο που φιλοξενούσαν οι ιστότοποι. Αυτές δημιούργησαν έσοδα pay-per-view ή pay-per-click από πλατφόρμες malvertising και στη συνέχεια δρομολόγησαν την κυκλοφορία μέσω ενός ή δύο επιπλέον κακόβουλων ανακατευθυντών. Τα θύματα οδηγούνταν τελικά σε έναν άλλο ιστότοπο, όπως ένας ιστότοπος για εξαπάτηση μέσω τεχνικής υποστήριξης, ο οποίος στη συνέχεια ανακατευθυνόταν στο GitHub.

Τα αποθετήρια του GitHub, τα οποία έκτοτε έχουν καταργηθεί, είχαν αποθηκευμένο κακόβουλο λογισμικό που χρησιμοποιούνταν για την ανάπτυξη πρόσθετων κακόβουλων αρχείων και σεναρίων. Μόλις κάποιος κατέβαζε το κακόβουλο λογισμικό, αυτό χρησιμοποιούνταν για τη συλλογή πληροφοριών συστήματος και την ανάπτυξη ωφέλιμων φορτίων δεύτερου σταδίου για τη διαρροή εγγράφων και δεδομένων.

Στη συνέχεια, ένα ωφέλιμο φορτίο script PowerShell τρίτου σταδίου κατέβαζε το Trojan απομακρυσμένης πρόσβασης (RAT) NetSupport από έναν διακομιστή εντολών και ελέγχου και όριζε τη διατήρηση στο μητρώο. Το RAT μπορούσε να παραδώσει το κακόβουλο λογισμικό κλοπής πληροφοριών Lumma ή μια ενημερωμένη έκδοση του infostealer Doenerium.

Το κακόβουλο λογισμικό επέτρεπε επίσης στους επιτιθέμενους να κατασκοπεύουν τη δραστηριότητα περιήγησης των θυμάτων και ακόμη και να αλληλεπιδρούν με ένα ενεργό πρόγραμμα περιήγησης, συμπεριλαμβανομένων των Firefox, Chrome και Edge.

Τα ωφέλιμα φορτία του πρώτου σταδίου υπογράφονταν ψηφιακά με ένα πρόσφατα δημιουργημένο πιστοποιητικό και περιλάμβαναν ορισμένα νόμιμα αρχεία για να αποκρύψουν την πραγματική τους φύση. Εντοπίστηκαν συνολικά δώδεκα διαφορετικά πιστοποιητικά, τα οποία ανακλήθηκαν αργότερα.

Ενώ το GitHub ήταν η κύρια πλατφόρμα που χρησιμοποιήθηκε για την παράδοση αυτών των ωφέλιμων φορτίων, η Microsoft βρήκε επίσης ένα ωφέλιμο φορτίο που φιλοξενήθηκε στο Discord και ένα άλλο στο Dropbox. Όπως και με το GitHub, οι σελίδες που φιλοξενούσαν το κακόβουλο λογισμικό σε αυτές τις πλατφόρμες έχουν αφαιρεθεί.

Η Microsoft αναφέρει ότι η εκστρατεία είχε αδιάκριτο χαρακτήρα, επηρεάζοντας τόσο τις συσκευές καταναλωτών όσο και τις συσκευές επιχειρήσεων. Σημειώνει επίσης ότι το λογισμικό Microsoft Defender των Windows είναι σε θέση να ανιχνεύσει και να επισημάνει το κακόβουλο λογισμικό που χρησιμοποιήθηκε στην επίθεση.

Πηγή : Techspot

[Tzitziloni]

Αν ήμουν στη θέση της M$, θα κοιτούσα πρώτα να βγάλω τα phishing/malware/spam/παραπλανητικά/click bait άρθρα από την αρχική σελίδα του Edge (msn).

[BlueChris]

Που είναι το παλικάρι που έλεγε χαζούς όσους πληρώνουν για extra security στο pc τους? MS και ξερό ψωμί λέμε.

[zardoz]

Που είναι το παλικάρι που έλεγε χαζούς όσους πληρώνουν για extra security στο pc τους? MS και ξερό ψωμί λέμε.

Παλιά (χροοοόνια πριν) υπήρχε το ανέκδοτο με τον Αλβανικό Ιό σε email: Κολλήσατε ιό, παρακαλώ σβήστε όλα τα αρχεία σας και κάνετε επανεκκίνηση.

Χθες σε κάποιο site, έπεσα σε περίπτωση... prove you are human: press winkey+R μετά CTRL+V και μετά πατήστε ENTER

Είχε ένα script άπειρες γραμμές που εκτελούσε διάφορα, άνοιγε firewall rules με netsh κλπ. Σαν τον Αλβανικό Ιό... κολλήστε μόνοι σας

[acct]

Που είναι το παλικάρι που έλεγε χαζούς όσους πληρώνουν για extra security στο pc τους? MS και ξερό ψωμί λέμε.

Your words, not mine!

Πλάκα κάνεις; Εδώ υπάρχει ακόμη κόσμος που πληρώνει για consumer Antivirus!

Τα non-managed (consumer) AV είναι από απλά good-to-have έως περιττά έως άχρηστα έως (ενίοτε) πηγή προβλημάτων. Ακόμη και στο παραπάνω άρθρο, σημειώνεται: "το λογισμικό Microsoft Defender των Windows είναι σε θέση να ανιχνεύσει και να επισημάνει το κακόβουλο λογισμικό που χρησιμοποιήθηκε στην επίθεση". Όποιος θέλει να πληρώσει από την τσέπη του για την ίδια υπηρεσία, μπορεί να το κάνει, αλλά καλό είναι να μην έχει την ψευδαίσθηση ότι κερδίζει ουσιαστική επιπλέον προστασία, οπότε μπορεί να αρχίσει να ανοίγει YOLO ό,τι εκτελέσιμο αρχείο και script βρει στο ίντερνετ.

Αν είχα 1€ για κάθε φορά που κάποιος:
α. λύνει ένα ανεξιχνίαστο πρόβλημά του απενεργοποιώντας προσωρινά τα όμοια των Avast, AVG, Avira, ESET, Kaspersky, McAfee, Norton, ... ή
β. κολλάει κάποιο malware επειδή νόμιζε ότι είναι ασφαλής εφόσον πλήρωσε ένα συνδρομητικό AV αντί του Defender,
θα ήμουν πλούσιος. Και διαλέγω σκοπίμως μερικά από όσα είναι πιστοποιημένα ως "Top Products" από το AVTest (όπως το Defender), για να υπάρχει κοινό μέτρο σύγκρισης. Κι ας μην είναι το πιο πλήρες.

Η αντικατάσταση του Defender δεν είναι extra security, είναι alternate security. Με λίγες εξαιρέσεις (λχ powershell scripts που απενεργοποιούν Defender, αλλά όχι όλα τα άλλα AV), όποιος θα κόλλαγε κάτι με Defender, θα το κολλήσει και με τα παραπάνω. Και πάλι, είναι αναγκαία συνθήκη η ριψοκίνδυνη συμπεριφορά του χρήστη. Για να είναι ασφαλής ένας ριψοκίνδυνος χρήστης, χρειάζεται ασφάλεια σε διαφορετικό επίπεδο από ένα λογισμικό που τρέχει στον ίδιο υπολογιστή που εκείνος δουλεύει με full admin access. Ας πούμε, έναν διαχειριστή σε υψηλότερο επίπεδο που τον εμποδίζει να εγκαταστήσει κάτι επικίνδυνο, να απενεργοποιήσει ασφαλιστικές δικλείδες ή να επισκεφτεί σελίδες με malware.

Και δεν ακουμπώ καν τα προβλήματα των managed λύσεων, όπως η σχετικά πρόσφατη μνημειώδης αποτυχία του CrowdStrike, γιατί αυτές σε γενικές γραμμές εξυπηρετούν και επιπλέον σκοπούς από απλό "extra security" (corporate compliance/reporting, auditability).

Πάντως, όπως λέει και το ρητό: your money, your life (κι ούτε καν εσένα, προσωπικά - ισχύει για όλους μας).
¯\_(ツ)_/¯

[BlueChris]

Απλό Eset EndPoint Antivirus έχω παντού, ούτε καν το Suite και κόβει τα πάντα από κακά site και malicius downloads, τι στιγμή που το Defender είναι ευτυχισμένο μαζί τους. Τα ποιο καλά 20-30€ το χρόνο που δίνω στη ζωή μου μιλάμε.

[acct]

Απλό Eset EndPoint Antivirus έχω παντού, ούτε καν το Suite και κόβει τα πάντα από κακά site και malicius downloads, τι στιγμή που το Defender είναι ευτυχισμένο μαζί τους. Τα ποιο καλά 20-30€ το χρόνο που δίνω στη ζωή μου μιλάμε.