Microsoft: Fast 1 Million Geräte wurden von Malware angegriffen, die über Werbung auf illegalen Streaming-Sites verbreitet wurde

Wenn Sie eine Website besuchen, die Raubkopien von Videostreams hostet, sollten Sie bereit sein, die Risiken in Kauf zu nehmen. Die Besitzer der 1 Million Geräte, die von Malware betroffen sind, die von diesen Websites stammt, haben dies möglicherweise nicht bedacht. Microsoft schrieb, dass sein Bedrohungsanalyseteam im Dezember 2024 eine groß angelegte böswillige Werbekampagne entdeckt habe, von der fast eine Million Geräte weltweit betroffen seien.

Das Unternehmen hat zwei illegale Streaming-Sites – movies7 und 0123movie – auf eingebettete Malvertising-Redirectors zurückgeführt. Die Angreifer fügten Werbeanzeigen in die auf der Website gehosteten Videos ein. Diese Anzeigen generieren Pay-per-View- oder Pay-per-Click-Einnahmen über die Malvertising-Plattform und leiten den Datenverkehr anschließend über ein oder zwei zusätzliche böswillige Weiterleitungen.

Opfer werden schließlich auf eine andere Website weitergeleitet, beispielsweise auf eine Betrugsseite für technischen Support, und dann auf GitHub weitergeleitet.

Das GitHub-Repository, in dem sich die Malware befand, die zur Bereitstellung weiterer schädlicher Dateien und Skripts verwendet wurde, wurde jetzt entfernt. Sobald jemand die Malware herunterlädt, wird sie zum Sammeln von Systeminformationen und zum Einsatz von Payloads der zweiten Stufe verwendet, um Dokumente und Daten zu stehlen.

Die PowerShell-Skript-Nutzlast der dritten Stufe lädt dann den NetSupport Remote Access Trojan (RAT) vom Command-and-Control-Server herunter und legt die Persistenz in der Registrierung fest. RATs können Lumma-Malware zum Informationsdiebstahl oder aktualisierte Versionen der Doenerium-Software zum Informationsdiebstahl übertragen.

Die Malware ermöglicht es Angreifern außerdem, die Surfaktivitäten des Opfers zu überwachen und sogar mit aktiven Browsern wie Firefox, Chrome und Edge zu interagieren.

Die Nutzlast der ersten Stufe wird mit einem neu erstellten Zertifikat digital signiert und enthält einige legitime Dateien, um ihre wahre Natur zu verbergen. Insgesamt wurden 12 verschiedene Zertifikate identifiziert, die später alle widerrufen wurden.

Während GitHub die primäre Plattform für die Bereitstellung dieser Nutzlasten ist, hat Microsoft auch festgestellt, dass eine Nutzlast auf Discord und eine andere auf Dropbox gehostet wurde. Wie bei GitHub wurden Webseiten, die Malware auf diesen Plattformen hosten, entfernt.

Microsoft schrieb, dass die Kampagne wahllos sei und sowohl Verbraucher- als auch Unternehmensgeräte betreffe. Microsoft stellte außerdem fest, dass die Microsoft Defender-Software für Windows in der Lage ist, bei Angriffen verwendete Malware zu erkennen und zu kennzeichnen.