Ivan JAKIĆ

8. mart 2025.

Hakeri su tokom „akcije” neprimetno krali podatke za pristup, kriptovalute i druge osetljive informacije sa zaraženih računara, što je zvanično potvrdio i Microsoft. Kampanja je počela svoj maliciozni put u decembru, kada su napadači, čiji identitet još uvek nije poznat, postavili linkove na određene veb-stranice, koji su preuzimali reklame sa zlonamernih servera. Linkovi su, uz pomoć „posredničkih” sajtova, navodili zaražene uređaje do repozitorijuma popunjenog brojnim zlonamernim fajlovima na GitHub platformi, koja je u vlasništvu kompanije Microsoft.

Malver se sastojao od četiri faze, pri čemu je svaka bila neophodna za narednu. Prvi stadijum je prikupljao informacije o uređaju u cilju lakšeg prilagođavanja specifičnim konfiguracijama, omogućavajući kasnijim fazama lakši „prodor”. Pozne faze su sabotirale aplikacije za detekciju malvera i uspostavljale vezu sa komandno–kontrolnim (C2) serverima. Zaraženi uređaji su ostajali pod kontrolom napadača čak i nakon ponovnog pokretanja sistema. Čitava akcija je ciljala skoro milion uređaja, uključujući one u vlasništvu fizičkih lica, ali i različitih organizacija i industrija. Neselektivni pristup ukazuje na to da je kampanja bila oportunistička, bez jasnog usmerenja. GitHub je bio glavna platforma za hostovanje zlonamernih fajlova, ali su korišćeni i Discord i Dropbox.

Malver je locirao resurse na zaraženom računaru i slao ih na C2 server napadača. Među ukradenim podacima su se nalazili fajlovi iz pregledača, koji mogu sadržavati kolačiće za prijavu, lozinke, istoriju pretrage i druge osetljive informacije - podaci sačuvani u pregledačima i fajlovi sačuvani na Microsoft OneDrive servisu. Malver je, takođe, proveravao prisustvo kripto–novčanika kao što su Ledger Live, KeepKey, Trezor Suite, OneKey i BitBox, što ukazuje na potencijalnu krađu finansijskih podataka.

Microsoft sumnja da su sajtovi koji su hostovali zlonamerne reklame bili platforme za strimovanje neovlašćenog sadržaja. Dva domena koja su identifikovana i potvrđena su movies7.(net) i 0123movie.(art). Microsoft Defender je ažuriran, te sada detektuje fajlove korišćene u ovom napadu, što verovatno čine i druga antivirusna rešenja. Korisnici koji sumnjaju da su naseli na hak mogu proveriti indikatore predstavljene na kraju izveštaja kompanije. Microsoft u izveštaju takođe navodi korake koje korisnici mogu preduzeti kako bi se zaštitili od sličnih malvertising kampanja u budućnosti.

Kampanja je još jednom naglasila i otkrila sofisticiranost savremenih digitalnih napada, te istakla važnost korišćenja pouzdanih alatki za zaštitu, ali i izbegavanje sumnjivih sajtovova i linkova. Microsoft nastavlja da prati situaciju, pružajući usputna ažuriranja kako bi korisnici bili što bolje zaštićeni.