Több mint 1 millió eszközt érintő malvertising kampány
2025. március 6-án a Microsoft nyilvánosságra hozta egy nagyszabású malvertising kampány részleteit, amely a becslések szerint több mint egymillió eszközt érintett világszerte, egy olyan opportunista támadás részeként, amelynek célja érzékeny információk ellopása. A Microsoft 2024. december elején észlelte a tevékenységet, amit Storm-0408 néven követ nyomon. A Microsoft szerint ez egy olyan kiberszereplő, amelyről ismert, hogy távoli hozzáférést vagy információlopó rosszindulatú szoftvereket terjesztenek adathalászaton, keresőmotor-optimalizáláson (SEO) vagy malvertisingon keresztül.
A kampány legjelentősebb aspektusa a GitHub használata a kezdeti hozzáférési payload szállítására. Legalább két másik elszigetelt esetben a hasznos terheléseket a Discordon és a Dropboxon tárolta a kiberszereplő. Az érintett GitHub repository-kat azóta eltávolították, a vállalat azonban nem közölte, hogy hány repot távolítottak el.
A teljes fertőzési sorozat egy többlépcsős folyamat, amely magában foglalja a rendszer felfedezését, az információgyűjtést, valamint az adatlopást elősegítő további hasznos terhelések, például a NetSupport RAT és az AutoIT szkriptek használatát. A kiberszereplő az infostealer-ek mellett PowerShell, JavaScript és VBScript szkriptek is futottak a fertőzött eszközökön. A kiberszereplő olyan living-off-the-land eszközöket is használtak, mint a PowerShell.exe, MSBuild.exe és RegAsm.exe a C2 és a felhasználói adatok és a böngésző hitelesítő adatainak kiszivárogtatásához.
A Kaspersky 2025. március 6-án felfedte, hogy a DeepSeek és Grok mesterséges intelligencia (AI) chatbotoknak álcázott hamis webhelyeket arra használják kiberszereplők, hogy a felhasználókat egy korábban nem dokumentált Python infostealer telepítésére csábítsák. Az X-en ellenőrzött fiókok (pl. @ColeAddisonTech, @gaurdevang2 és @saduq5) által hirdetett, DeekSeek témájú csalóoldalakat is alkalmaztak egy PowerShell szkript futtatására, amely SSH segítségével távoli hozzáférést biztosít a támadóknak az áldozat eszközéhez.
Első szakasz – A kiberszereplő megveti a lábát a céleszközön.
Második szakasz – Rendszerfelderítés, adatgyűjtés és kiszivárogtatás, valamint a payload célba juttatása.
Harmadik szakasz – Parancsvégrehajtás, payload szállítása, a védelem megkerülése, perzisztencia, C2 kommunikáció és adatszivárogtatás.
Negyedik szakasz – PowerShell szkript futtatása a Microsoft Defender kizárások konfigurálásához és a távoli kiszolgálóról történő adatletöltésre szolgáló parancsok futtatásához.
