Microsoft ได้เปิดเผยถึงแคมเปญโฆษณามุ่งร้าย (Malvertising) ครั้งใหญ่ที่มีผลกระทบต่ออุปกรณ์เกือบ 1 ล้านเครื่องทั่วโลกในช่วงปลายปี 2024 โดย Microsoft ดำเนินการลบ GitHub repositories จำนวนมากที่ถูกใช้เป็นแหล่งในการแพร่กระจายมัลแวร์ในแคมเปญนี้
แคมเปญนี้เริ่มจากการฝังโฆษณาในวิดีโอบนเว็บไซต์สตรีมมิ่งเถื่อน ซึ่งโฆษณาเหล่านี้ทำหน้าที่เป็นตัวนำผู้ใช้ไปยัง GitHub repositories ที่ควบคุมโดยผู้โจมตี โดยขั้นตอนการโจมตีมีลักษณะเป็นหลายชั้น (Multi-stage Attack Chain):
1) ชั้นแรก: GitHub repositories ใช้แจกจ่ายมัลแวร์ที่เก็บข้อมูลระบบ เช่น ข้อมูลหน่วยความจำ, ความละเอียดของหน้าจอ และระบบปฏิบัติการ
2) ชั้นที่สอง: Payload อื่น ๆ ถูกติดตั้งเพื่อสร้างความเสียหายเพิ่มเติม เช่น มัลแวร์ Lumma Stealer และ Doenerium Infostealer ที่ออกแบบมาเพื่อขโมยข้อมูลผู้ใช้งาน
3) ชั้นที่สาม: มัลแวร์ PowerShell script จะดาวน์โหลดโทรจันควบคุมระยะไกล (NetSupport RAT) จากเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี
นอกจากนี้ การโจมตียังรวมถึงการใช้โปรแกรม AutoIt interpreter เพื่อเปิดใช้งานไฟล์และสร้างความคงทนในระบบ ซึ่งในบางกรณี PowerShell ถูกใช้เพื่อปิดการทำงานของ Windows Defender และหลีกเลี่ยงการตรวจจับ
แม้ว่าผู้โจมตีจะใช้ GitHub เป็นแหล่งหลักในการโฮสต์มัลแวร์ Microsoft ยังพบว่ามีการใช้ Dropbox และ Discord เพื่อแพร่กระจาย payload ในบางกรณีอีกด้วย
แคมเปญนี้มีผลกระทบต่อทั้งผู้ใช้งานทั่วไปและองค์กรในอุตสาหกรรมต่าง ๆ ทั่วโลก ทำให้เห็นถึงความไม่เลือกปฏิบัติของผู้โจมตี ซึ่ง Microsoft ได้ติดตามกิจกรรมนี้ภายใต้ชื่อ Storm-0408 ที่เชื่อมโยงกับกลุ่มผู้ไม่ประสงค์ดีซึ่งใช้กลยุทธ์ฟิชชิ่งและ SEO เพื่อกระจายมัลแวร์ในวงกว้าง
https://www.bleepingcomputer.com/news/security/microsoft-says-malvertising-campaign-impacted-1-million-pcs/
แคมเปญนี้เริ่มจากการฝังโฆษณาในวิดีโอบนเว็บไซต์สตรีมมิ่งเถื่อน ซึ่งโฆษณาเหล่านี้ทำหน้าที่เป็นตัวนำผู้ใช้ไปยัง GitHub repositories ที่ควบคุมโดยผู้โจมตี โดยขั้นตอนการโจมตีมีลักษณะเป็นหลายชั้น (Multi-stage Attack Chain):
1) ชั้นแรก: GitHub repositories ใช้แจกจ่ายมัลแวร์ที่เก็บข้อมูลระบบ เช่น ข้อมูลหน่วยความจำ, ความละเอียดของหน้าจอ และระบบปฏิบัติการ
2) ชั้นที่สอง: Payload อื่น ๆ ถูกติดตั้งเพื่อสร้างความเสียหายเพิ่มเติม เช่น มัลแวร์ Lumma Stealer และ Doenerium Infostealer ที่ออกแบบมาเพื่อขโมยข้อมูลผู้ใช้งาน
3) ชั้นที่สาม: มัลแวร์ PowerShell script จะดาวน์โหลดโทรจันควบคุมระยะไกล (NetSupport RAT) จากเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี
นอกจากนี้ การโจมตียังรวมถึงการใช้โปรแกรม AutoIt interpreter เพื่อเปิดใช้งานไฟล์และสร้างความคงทนในระบบ ซึ่งในบางกรณี PowerShell ถูกใช้เพื่อปิดการทำงานของ Windows Defender และหลีกเลี่ยงการตรวจจับ
แม้ว่าผู้โจมตีจะใช้ GitHub เป็นแหล่งหลักในการโฮสต์มัลแวร์ Microsoft ยังพบว่ามีการใช้ Dropbox และ Discord เพื่อแพร่กระจาย payload ในบางกรณีอีกด้วย
แคมเปญนี้มีผลกระทบต่อทั้งผู้ใช้งานทั่วไปและองค์กรในอุตสาหกรรมต่าง ๆ ทั่วโลก ทำให้เห็นถึงความไม่เลือกปฏิบัติของผู้โจมตี ซึ่ง Microsoft ได้ติดตามกิจกรรมนี้ภายใต้ชื่อ Storm-0408 ที่เชื่อมโยงกับกลุ่มผู้ไม่ประสงค์ดีซึ่งใช้กลยุทธ์ฟิชชิ่งและ SEO เพื่อกระจายมัลแวร์ในวงกว้าง
https://www.bleepingcomputer.com/news/security/microsoft-says-malvertising-campaign-impacted-1-million-pcs/
Microsoft ได้เปิดเผยถึงแคมเปญโฆษณามุ่งร้าย (Malvertising) ครั้งใหญ่ที่มีผลกระทบต่ออุปกรณ์เกือบ 1 ล้านเครื่องทั่วโลกในช่วงปลายปี 2024 โดย Microsoft ดำเนินการลบ GitHub repositories จำนวนมากที่ถูกใช้เป็นแหล่งในการแพร่กระจายมัลแวร์ในแคมเปญนี้
แคมเปญนี้เริ่มจากการฝังโฆษณาในวิดีโอบนเว็บไซต์สตรีมมิ่งเถื่อน ซึ่งโฆษณาเหล่านี้ทำหน้าที่เป็นตัวนำผู้ใช้ไปยัง GitHub repositories ที่ควบคุมโดยผู้โจมตี โดยขั้นตอนการโจมตีมีลักษณะเป็นหลายชั้น (Multi-stage Attack Chain):
1) ชั้นแรก: GitHub repositories ใช้แจกจ่ายมัลแวร์ที่เก็บข้อมูลระบบ เช่น ข้อมูลหน่วยความจำ, ความละเอียดของหน้าจอ และระบบปฏิบัติการ
2) ชั้นที่สอง: Payload อื่น ๆ ถูกติดตั้งเพื่อสร้างความเสียหายเพิ่มเติม เช่น มัลแวร์ Lumma Stealer และ Doenerium Infostealer ที่ออกแบบมาเพื่อขโมยข้อมูลผู้ใช้งาน
3) ชั้นที่สาม: มัลแวร์ PowerShell script จะดาวน์โหลดโทรจันควบคุมระยะไกล (NetSupport RAT) จากเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี
นอกจากนี้ การโจมตียังรวมถึงการใช้โปรแกรม AutoIt interpreter เพื่อเปิดใช้งานไฟล์และสร้างความคงทนในระบบ ซึ่งในบางกรณี PowerShell ถูกใช้เพื่อปิดการทำงานของ Windows Defender และหลีกเลี่ยงการตรวจจับ
แม้ว่าผู้โจมตีจะใช้ GitHub เป็นแหล่งหลักในการโฮสต์มัลแวร์ Microsoft ยังพบว่ามีการใช้ Dropbox และ Discord เพื่อแพร่กระจาย payload ในบางกรณีอีกด้วย
แคมเปญนี้มีผลกระทบต่อทั้งผู้ใช้งานทั่วไปและองค์กรในอุตสาหกรรมต่าง ๆ ทั่วโลก ทำให้เห็นถึงความไม่เลือกปฏิบัติของผู้โจมตี ซึ่ง Microsoft ได้ติดตามกิจกรรมนี้ภายใต้ชื่อ Storm-0408 ที่เชื่อมโยงกับกลุ่มผู้ไม่ประสงค์ดีซึ่งใช้กลยุทธ์ฟิชชิ่งและ SEO เพื่อกระจายมัลแวร์ในวงกว้าง
https://www.bleepingcomputer.com/news/security/microsoft-says-malvertising-campaign-impacted-1-million-pcs/
0 Comments
0 Shares
43 Views
0 Reviews
Thai