Microsoft ontdekt Malwaer

Microsoft: Grootschalige Malvertisingcampagne Onthuld en Stopgezet

In een recente en opmerkelijke actie heeft Microsoft een grootschalige malvertisingcampagne beëindigd die wereldwijd bijna een miljoen apparaten heeft getroffen. Deze campagne, die gebruik maakte van GitHub-repositories voor de verspreiding van schadelijke software, werd ontdekt door het Threat Intelligence-team van Microsoft.

De Ontdekking

Begin december 2024 stuitte het team op verschillende systemen die malware downloadden via de eerder genoemde GitHub-repositories. De aanvallers maakten gebruik van deze repositories om schadelijke software te verspreiden, die vervolgens werd ingezet om andere kwetsbare softwarepakketten op de getroffen apparaten te installeren. Dit gebeurde via malvertising, een techniek waarbij aanvallers schadelijke advertenties integreren in video-inhoud.

Aanval via Schadelijke Advertenties

In deze specifieke campagne verschenen de schadelijke advertenties op illegale streamingwebsites. Deze platforms voegden malvertising-omleidingen toe in filmframes, met als doel inkomsten te genereren via pay-per-view of pay-per-click modellen vanuit malvertisingnetwerken. Gebruikers werden meerdere keren doorgestuurd via schadelijke omleidingsdiensten, wat hen uiteindelijk leidde naar websites vol malware of tech-supportscams.

Van deze websites werden gebruikers opnieuw doorgestuurd naar de GitHub-repositories waar de schadelijke bestanden waren opgeslagen. De aanvankelijke malware die werd gedownload, verzamelde kritieke informatie over de systemen, zoals het besturingssysteem, beschikbare geheugen en schermresolutie. Deze gegevens stelden de aanvallers in staat om gerichter schade aan te richten.

De Volgende Fase van de Aanval

Na de initiële infectie downloadden de aanvallers een NetSupport-trojan (RAT) van een command-and-controlserver, die vervolgens werd verankerd in het Windows-register. Dit stelde de hackers in staat om verder te gaan met hun kwaadaardige activiteiten. Vervolgens maakten ze gebruik van de Lumma-infostealer-malware, die ontworpen is om inloggegevens en andere gevoelige informatie te stelen. In sommige gevallen werd ook de Doenerium-malware op de geïnfecteerde systemen geïnstalleerd, met als doel zoveel mogelijk data te verzamelen.

GitHub-Repositories Gesloten

Microsoft heeft bevestigd dat de aanvallers via de GitHub-repositories bijna een miljoen apparaten hebben bereikt. De misbruikte repositories zijn inmiddels gesloten, hoewel Microsoft geen specifiek aantal heeft vrijgegeven over het aantal getroffen systemen. Het is belangrijk op te merken dat de aanvallers hun schadelijke bestanden niet alleen via GitHub verspreidden, maar ook via andere platforms zoals Discord en Dropbox.

De softwaregigant heeft benadrukt dat zowel zakelijke systemen als consumentencomputers het doelwit waren van deze aanvallen. Tot op heden is het onduidelijk wie er precies achter deze kwaadaardige campagne zit. Microsoft heeft de hackers aangeduid met de codenaam ‘Storm-0408’, een benaming die zij gebruiken voor aanvallen die gebruik maken van infostealer-malware, inclusief die via SEO- en malvertisingcampagnes.

Conclusie

Deze onthulling benadrukt de voortdurende dreiging van malvertisingcampagnes en de noodzaak voor zowel bedrijven als consumenten om waakzaam te blijven. De succesvolle actie van Microsoft toont aan dat samenwerking en snelle reacties essentieel zijn in de strijd tegen cybercriminaliteit. Het is van cruciaal belang dat gebruikers zich bewust zijn van de gevaren van schadelijke advertenties en de risico's van het bezoeken van verdachte websites. Door proactief beveiligingsmaatregelen te nemen en regelmatig software-updates uit te voeren, kunnen gebruikers hun apparaten beter beschermen tegen dergelijke aanvallen.