Microsoft заблокировала ряд репозиториев на GitHub, используемых в крупной вредоносной кампании, затронувшей почти миллион устройств по всему миру. Специалисты компании обнаружили вредоносную деятельность в декабре 2024 года, когда зафиксировали загрузку вредоносного ПО с платформы GitHub на многочисленные устройства. Зловредное ПО впоследствии использовалось для развёртывания дополнительных вредоносных компонентов на скомпрометированных системах.
Анализ показал, что злоумышленники встраивали рекламные перенаправляющие на незаконные потоковые сайты, размещающих пиратские фильмы. Эти ссылки направляли жертв на вредоносные репозитории в GitHub, контролируемые атакующими. Как пояснили в Microsoft, сайты использовали рекламу не только для распространения вредоносного ПО, но и для выручения прибыли по модели Pay-Per-View или Pay-Per-Click.
Попав на GitHub, пользователи загружали вредоносное ПО, которое собирало данные о системе, включая объём оперативной памяти, параметры графики, разрешение экрана, операционную систему и пути пользователей. Затем информация передавалась атакующим, а на устройства загружались дополнительные вредоносные компоненты.
На следующем этапе PowerShell-скрипт загружал троян удалённого доступа NetSupport с сервера управления, а также вносил изменения в реестр Windows для обеспечения его постоянного присутствия. После запуска этот троян мог загружать дополнительное вредоносное ПО, включая стилеры Lumma и Doenerium, которые предназначены для кражи пользовательских данных и учётных данных браузеров.
Если же на втором этапе атаки загружался исполняемый файл, он запускал CMD-скрипт и загружал переименованный интерпретатор AutoIt с расширением «.com», который затем выполнял вредоносный бинарный файл. В некоторых случаях использовалась и версия AutoIt с расширением «.scr». Вредоносный JavaScript помогал обеспечивать их выполнение и закрепление в системе.
На последнем этапе AutoIt-скрипты использовали PowerShell или RegAsm для открытия файлов, включения удалённого отладки браузера и кражи дополнительных данных. В некоторых случаях PowerShell также использовался для отключения защитных механизмов Windows Defender и загрузки новых экземпляров NetSupport.
Хотя первичная загрузка зловредного ПО происходила через GitHub, специалисты Microsoft зафиксировали также использование Dropbox и Discord для распространения полезной нагрузки. Вся вредоносная кампания отслеживается под идентификатором Storm-0408, включающим группу киберпреступников, распространяющих вредоносное ПО с использованием фишинга, SEO-манипуляций и малвертайзинга.