Ako planirate posjetiti web stranice koje hostaju piratske video streamove, trebali biste biti spremni na rizike. To su na teži način naučili vlasnici milijun uređaja pogođenih nedavnom malware kampanjom povezanom s ovim stranicama.
Microsoftov tim za analizu prijetnji otkrio je u prosincu 2024. godine veliku malvertising kampanju koja je zahvatila gotovo milijun uređaja diljem svijeta.
Istraživanjem je utvrđeno da su napadi potekli s dvije ilegalne streaming stranice – Movies7 i 0123movie. Napadači su u videe ugrađivali maliciozne oglase koji su generirali prihod putem pay-per-view ili pay-per-click sustava, a zatim preusmjeravali promet kroz dodatne zlonamjerne redirectore.
Korisnici su u konačnici preusmjereni na druge zlonamjerne web stranice, poput lažnih tehničkih podrški, koje su potom vodile na GitHub. Na GitHubu su se nalazili repozitoriji s malwareom koji je preuzimao dodatne zlonamjerne datoteke i skripte.
Jednom kada bi korisnici preuzeli malware, on je prikupljao podatke sustava i pokretao daljnje napade radi krađe dokumenata i osjetljivih podataka.
Treći stupanj napada koristio je PowerShell skriptu koja je preuzimala NetSupport Remote Access Trojan (RAT) s komandno-upravljačkog poslužitelja i osiguravala njegovu trajnost u sustavu. Ovaj RAT mogao je zatim isporučiti:
- Lumma malware – program za krađu podataka
- Nadograđenu verziju Doenerium infostealera
Malware je također omogućavao napadačima praćenje aktivnosti preglednika te interakciju s aktivnim sesijama u Firefoxu, Chromeu i Edgeu.
Prvi stupanj napada uključivao je datoteke digitalno potpisane novostvorenim certifikatima kako bi se prikrila njihova zlonamjerna priroda. Identificirano je ukupno 12 različitih certifikata, a svi su kasnije opozvani.
Iako je GitHub bio primarna platforma za distribuciju ovih malicioznih payloada, Microsoft je otkrio da su neki od njih hostani i na Discordu i Dropboxu.
Baš kao i na GitHubu, maliciozni sadržaji na ovim platformama su uklonjeni.
Microsoft izvješćuje da je napad bio neselektivan, pogađajući i privatne korisnike i poslovne sustave. Dobra vijest je da Windows Defender može detektirati i označiti većinu malwarea korištenog u ovom napadu.
Ova kampanja služi kao podsjetnik na rizike ilegalnog streaminga. Posjetom nesigurnim stranicama korisnici mogu nesvjesno postati žrtve malicioznih napada koji kompromitiraju njihovu sigurnost i privatnost.
