微软威胁情报团队发现,自2024年12月起,攻击者通过非法流媒体网站嵌入恶意广告,将用户重定向至GitHub、Discord等平台下载多阶段恶意载荷。该活动影响全球近百万设备,涉及Lumma、Doenerium等信息窃取器,并滥用PowerShell、AutoIT等合法工具进行持久化攻击。攻击链包括:
初始入侵:用户访问含恶意广告的盗版影视网站,触发重定向链;
系统探测:收集设备内存、GPU、操作系统等信息并外泄;
后续攻击:部署NetSupport远程控制工具或通过Chrome远程调试窃取浏览器凭证。
微软联合GitHub已关闭相关仓库,并建议启用Defender的篡改防护、网络保护及多因素认证(MFA)等防御措施。攻击者利用跨链桥THORChain混淆资金流向,部分数据通过混币器彻底隐匿。
Microsoft
📮投稿 ☘️频道 🌸聊天 🗞️𝕏
😨 129 ❤️ 14 😈 7 😁 5 👍 3 🤔 3 😱 1 🙏 1
