Microsoft е премахнала неразкрит брой хранилища в GitHub, използвани в масирана кампания за злонамерена реклама. Тя е засегнала почти един милион устройства по целия свят.
Компанията е открила кампанията в началото на декември 2024 г., след като е засякла множество устройства да изтеглят зловреден софтуер от GitHub. По-късно той е използван за разгръщане на поредица от различни други полезни товари в компрометираните системи.
Атаката протича така:
- нападателите инжектират реклами във видеоклипове на незаконни пиратски уебсайтове за стрийминг;
- видеоклиповете пренасочват потребителите към хранилища на GitHub. Те ги заразяват със злонамерен софтуер, събиращ подробна информация за системата;
- PowerShell скрипт изтегля троянеца за отдалечен достъп NetSupport, през който се инсталира infostealer Lumma.
Dropbox и Discord също се използват по сходен с GitHub начин. Кампанията е засегнала широк кръг организации и индустрии, включително потребителски и корпоративни устройства.
За да се предпазите:
- използвайте надежен антивирусен софтуер и го поддържайте актуален;
- изпoлзвайте Add Block;
- oбучавайте потребителите да избягват кликване на подозрителни реклами и поп-ъп прозорци;
- използвайте сигурни настройки на браузъра, които блокират изскачащи прозорци;
- конфигурирайте WAF (Web Application Firewall) с правила, специфични за malvertising, за да блокирате известни вектори на атаки като drive-by downloads.