近期，科技界傳來消息，微軟成功阻止了針對全球近百萬臺設備的惡意廣告活動。這一行動揭露并搗毀了一批位于GitHub的倉庫，這些倉庫被用作大規(guī)模投放惡意軟件的基地。

據(jù)微軟威脅分析師透露，他們在去年12月初首次發(fā)現(xiàn)了這一系列攻擊。當時，多臺設備從GitHub倉庫下載了惡意軟件，并在隨后的操作中部署了一系列其他惡意載荷。這一發(fā)現(xiàn)引起了微軟的高度重視，并立即展開了深入調(diào)查。

調(diào)查結果顯示，這些攻擊活動并非一蹴而就，而是精心設計的多階段攻擊。在第一階段，攻擊者利用非法盜版流媒體網(wǎng)站作為跳板，將惡意廣告注入到網(wǎng)站的視頻中。這些廣告通過嵌入在電影幀中的重定向器，將潛在受害者引導至攻擊者控制的惡意GitHub倉庫。這些重定向器還會經(jīng)過一至兩個額外的惡意站點，最終將流量導向惡意網(wǎng)站或技術支持詐騙網(wǎng)站，并進一步鏈接回GitHub。

惡意軟件一旦進入受害者的系統(tǒng)，便開始執(zhí)行系統(tǒng)發(fā)現(xiàn)任務，收集詳細的系統(tǒng)信息，如內(nèi)存大小、顯卡詳情、屏幕分辨率、操作系統(tǒng)版本以及用戶路徑等。這些信息為攻擊者提供了寶貴的情報，有助于他們在第二階段部署更加精準的惡意載荷。

進入第三階段，攻擊者通過PowerShell腳本從命令控制服務器下載NetSupport遠程訪問木馬（RAT），并在受害者的注冊表中建立持久性。這一步驟完成后，惡意軟件還會部署Lumma信息竊取程序和開源的Doenerium竊取程序，進一步竊取用戶數(shù)據(jù)和瀏覽器憑證。這些敏感信息的泄露，對受害者的隱私和安全構成了嚴重威脅。

如果第三階段的載荷是可執(zhí)行文件，它會創(chuàng)建一個CMD文件并運行，同時釋放一個經(jīng)過重命名的AutoIt解釋器。這個解釋器隨后啟動二進制文件，并可能釋放另一個版本的AutoIt解釋器。通過這些復雜的操作，攻擊者能夠利用AutoIt載荷打開文件、啟用遠程瀏覽器調(diào)試，并竊取更多信息。在某些情況下，攻擊者還會使用PowerShell配置Windows Defender的排除路徑，或釋放更多的NetSupport載荷。

除了GitHub外，微軟威脅情報團隊還發(fā)現(xiàn)，Dropbox和Discord等平臺上也托管了部分惡意載荷。這些平臺成為了攻擊者分散風險、擴大攻擊范圍的重要工具。然而，得益于微軟的及時干預和精準打擊，這些惡意活動最終被成功遏制。

此次事件再次提醒我們，網(wǎng)絡安全形勢依然嚴峻復雜，必須時刻保持警惕。企業(yè)和個人用戶應加強安全防護措施，定期更新系統(tǒng)和軟件補丁，避免訪問非法或可疑的網(wǎng)站和服務。同時，網(wǎng)絡安全廠商也應加強技術研發(fā)和情報共享，共同應對日益復雜的網(wǎng)絡安全威脅。

GitHub等平臺也應加強對倉庫內(nèi)容的審核和管理，防止其成為惡意軟件傳播的渠道。只有各方共同努力，才能構建一個更加安全、可靠的網(wǎng)絡環(huán)境。

最后，對于廣大用戶而言，提高網(wǎng)絡安全意識至關重要。在享受網(wǎng)絡帶來的便利的同時，也要時刻關注自己的隱私和安全狀況。只有這樣，我們才能在數(shù)字化時代中安心前行。