微软披露大规模恶意广告攻击:近百万设备遭信息窃取,利用GitHub传播 微软威胁情报团队发现,自2024年12月起,攻击者通过非法流媒体网站嵌入恶意广告,将用户重定向至GitHub、Discord等平台下载多阶段恶意载荷。该活动影响全球近百万设备,涉及Lumma、Doenerium等信息窃取器,并滥用PowerShell、AutoIT等合法工具进行持久化攻击。攻击链包括: 初始入侵:用户访问含恶意广告的盗版影视网站,触发重定向链; 系统探测:收集设备内存、GPU、操作系统等信息并外泄; 后续攻击:部署NetSupport远程控制工具或通过Chrome远程调试窃取浏览器凭证。 微软联合GitHub已关闭相关仓库,并建议启用Defender的篡改防护、网络保护及多因素认证(MFA)等防御措施。攻击者利用跨链桥THORChain混淆资金流向,部分数据通过混币器彻底隐匿。
