微软近日发布警告,指出一场复杂的“恶意广告”(malvertising)活动在过去几个月内锁定了近100万台Windows设备,目标是窃取受感染机器的登录凭证、加密货币钱包等敏感资讯。这场活动始于去年12月,攻击者通过在网站上植入恶意连接,诱骗用户下载恶意程序。
攻击者首先在网站上植入连接,这些连接会将用户导向多个中间网站,最终到达微软旗下的Github存储库,该存储库托管了大量的恶意文件。这个恶意软件会分四个阶段加载,每个阶段都扮演着构建模块的角色,逐步扩大攻击范围。
这次攻击的目标广泛,涵盖个人以及各种组织和行业。这种不分青红皂白的做法表明,这是一场机会主义的活动,旨在诱捕任何可能的用户,而不是针对特定的个人、组织或行业。
被窃取的数据包括存储在受感染计算机上的浏览器文件,这些文件可能包含登录Cookie、密码、浏览历史记录和其他敏感数据。具体路径如下:
此外,存储在微软OneDrive云计算服务上的文件也成为攻击目标。微软表示,该恶意软件还会检查是否存在加密货币钱包,包括Ledger Live、Trezor Suite、KeepKey、BCVault、OneKey和BitBox,这表明攻击者有窃取金融数据的意图。
微软怀疑托管恶意广告的网站是提供未经授权内容的流媒体平台,例如movies7“.”net和0123movie“.”art。目前,Microsoft Defender已经可以检测到攻击中使用的文件,其他恶意软件防御应用程序也可能具备相同能力。
微软建议用户查看其文章末尾的入侵指标,并采取预防措施,以避免成为类似恶意广告活动的受害者。
