Microsoft’un güvenlik uzmanları tarafından yapılan yeni bir araştırmaya göre, bir milyondan fazla bilgisayara büyük bir kötü amaçlı reklam kampanyası yoluyla virüs bulaştırıldı. Kampanya, insanların korsan içerik izleyebildiği yasadışı yayın sitelerinde başladı. Görünüşe göre siber suçlular bu videolara reklamlar enjekte ederek, ziyaretçileri saldırganların kontrolü altındaki birçok GitHub deposundan birine inmeden önce bir yönlendirmeden geçirdi.
Burada, sistem keşfini çalıştıracak ve sistem bilgilerini (işletim sistemi verileri, ekran çözünürlüğü, bellek boyutu, vb.) toplayacak ilk yükü indiriyor, ikinci aşama yükü dağıtırken saldırganların kontrolü altındaki bir sunucuya sızdırıyorlardı. İkinci aşama yük, ele geçirilen cihaza göre değişir. Bu kötü amaçlı yazalım bazı durumlarda, NetSupport uzaktan erişim truva atı (RAT), Lumma Stealer veya Doenerium olabilir.
Virüs, Kötü Amaçlı Reklamlar Yoluyla Bulaştırıldı
Bu kötü amaçlı yazılımlar, insanların oturum açma kimlik bilgilerini, kripto para bilgilerini, banka bilgilerini ve daha fazlasını ele geçirebilir. Diğer durumlarda, kötü amaçlı yazılım bir CMD çalıştıran ve .com uzantılı yeniden adlandırılmış bir AutoIt yorumlayıcısı bırakan yürütülebilir bir dosya indirir.
Çoğu durumda, yükler GitHub’da barındırılıyordu. Microsoft, açıklanmayan sayıda depoyu kaldırdığını söyledi. Bununla birlikte, kötü amaçlı yazılım Dropbox ve Discord‘da da barındırılıyordu. Kampanyayı belirli bir gruba bağlamayan ve kurbanların çok çeşitli sektörlerde bulunduğunu söyleyen Microsoft, şu değerlendirmeyi yaptı:
“Bu etkinlik, uzaktan erişim veya bilgi çalan kötü amaçlı yazılımlarla ilişkili olan ve kötü amaçlı yükleri dağıtmak için kimlik avı, arama motoru optimizasyonu (SEO) veya kötü amaçlı reklam kampanyaları kullanan çok sayıda tehdit aktörünü izlemek için kullandığımız Storm-0408 şemsiye adı altında izleniyor. Kampanya, hem tüketici hem de kurumsal cihazlar dahil olmak üzere çok çeşitli kuruluşları ve sektörleri etkiledi ve saldırının ayrım gözetmeyen doğasını vurguladı”