Thought Leadership
Das Microsoft Threat Intelligence Team hat kürzlich eine groß angelegte Malvertising-Kampagne enttarnt, die Ende 2024 fast eine Million Geräte kompromittierte. Die Angreifer versteckten ihre Schadsoftware in GitHub-Repositories und verbreiteten sie über manipulierte Werbeanzeigen.
Der Angriff begann auf zwielichtigen Streaming-Seiten, die Filme und Serien illegal anbieten. Dort wurden Nutzer mit scheinbar harmlosen Anzeigen geködert, die jedoch versteckte Weiterleitungen enthielten. Diese Anzeigen generierten zwar Einnahmen über fragwürdige Werbenetzwerke, doch das eigentliche Ziel war, die Nutzer auf bösartige Websites zu locken.
Über mehrere Umleitungen landeten die Opfer schließlich auf einer Seite, die sie zu einem GitHub-Repository weiterleitete. Dort wurde ein erster Schadcode heruntergeladen, der weitere bösartige Komponenten nachlud. Diese sammelten zunächst Informationen über das infizierte Gerät – etwa zur Hardware, zum Betriebssystem und zu Nutzerdaten – und öffneten anschließend die Tür für schwerwiegendere Angriffe.
In einer dritten Phase kommunizierte die Schadsoftware mit externen Servern, um zusätzliche Schadprogramme herunterzuladen und Sicherheitsmechanismen zu umgehen. Besonders perfide: Die Angreifer hatten es vor allem auf Zugangsdaten abgesehen, die in Browsern gespeichert waren. Dafür setzten sie ein komplexes System aus mehreren Umleitungsebenen ein, um ihre Spuren zu verwischen und den Angriff möglichst lange aufrechtzuerhalten.
Microsoft zufolge wurden die betroffenen GitHub-Repositories mittlerweile gesperrt. Das Unternehmen hat zudem einen ausführlichen Bericht veröffentlicht, der Einblicke in die Reichweite der Kampagne und technische Details liefert. Diese Informationen sollen helfen, ähnliche Bedrohungen frühzeitig zu erkennen und zu bekämpfen.
Nutzer sollten sich derweil bewusst sein, dass selbst vermeintlich vertrauenswürdige Plattformen wie GitHub von Cyberkriminellen missbraucht werden können. Eine gesunde Skepsis beim Surfen, kombiniert mit technischen Schutzmaßnahmen, bleibt unerlässlich, um sich vor solchen Angriffen zu schützen.
