Microsoft, Bir Milyon Cihazı Etkileyen Kötü Amaçlı Reklam Kampanyasını Ortaya Çıkardı
Microsoft, dünya genelinde yaklaşık bir milyon cihazı etkileyen kötü amaçlı reklam kampanyasında kullanılan GitHub depolarını devre dışı bıraktı. Şirketin tehdit analistleri, saldırıları Aralık 2024’te tespit etti. Saldırganlar, korsan yayın sitelerindeki videolara yerleştirilen reklamlar aracılığıyla kullanıcıları hedef aldı.
Saldırı Nasıl Gerçekleşti?
Microsoft, saldırganların yasa dışı yayın sitelerindeki videolara kötü amaçlı reklam yönlendirme kodları yerleştirdiğini belirtti. Kullanıcılar, videolardaki reklamlara tıkladığında önce birkaç zararlı siteye yönlendirildi. Son aşamada, GitHub depolarında barındırılan kötü amaçlı yazılımlar indirildi.
Kötü amaçlı yazılımlar, sistem keşfi yaparak cihaz hakkında ayrıntılı bilgiler topladı. Toplanan veriler arasında bellek boyutu, ekran çözünürlüğü, işletim sistemi ve kullanıcı yolları yer aldı. Toplanan bilgiler, saldırganların kontrolündeki sunuculara gönderildi.
Saldırının üçüncü aşamasında, PowerShell betikleri kullanılarak NetSupport uzaktan erişim truva atı (RAT) yüklendi. Bu zararlı yazılım, Windows Kayıt Defteri’nde kalıcı hâle getirildi. Yürütüldüğünde, Lumma ve Doenerium isimli bilgi hırsızlığı yapan kötü amaçlı yazılımlar da devreye girdi.
Saldırının ilerleyen aşamalarında, AutoIt yorumlayıcısı kullanılarak sistemde ek kötü amaçlı yazılımlar çalıştırıldı. AutoIt bileşenleri, komut dosyaları yardımıyla kalıcılık sağladı ve ek veriler sızdırdı. PowerShell betikleri, Windows Defender dışlama yollarını yapılandırarak güvenlik yazılımının devreye girmesini engelledi.
Hangi Platformlar Kullanıldı?
Microsoft, saldırganların yalnızca GitHub’ı değil, Dropbox ve Discord platformlarını da kötü amaçlı yazılımların barındırılması için kullandığını tespit etti. Şirket, saldırganları “Storm-0408” olarak adlandırılan tehdit grubu kapsamında takip ettiğini açıkladı.
Microsoft, saldırının hem bireysel kullanıcıları hem de kurumsal cihazları hedef aldığını belirtti. Şirket, kullanıcıların yalnızca güvenilir kaynaklardan yazılım indirmesi gerektiğini vurguladı. Ayrıca, korsan içerik sağlayan sitelerden uzak durulması önerildi. Microsoft’un ayrıntılı raporunda saldırının aşamaları, kullanılan zararlı yazılımlar ve korunma yolları hakkında daha fazla bilgi yer alıyor.
