微软捣毁恶意广告网络，成功关闭多个GitHub仓库

随着网络安全威胁日益严重，互联网用户面临的恶意攻击和广告诈骗行为不断演进。近期，微软的一项行动有效遏制了大规模的恶意广告活动，成功关闭了多个用于传播恶意软件的GitHub仓库。此事件不仅凸显了网络安全领域的复杂性，也强化了科技公司在打击网络犯罪中的重要角色。

根据科技媒体BleepingComputer的报道称，这一系列恶意广告活动的揭露始于2024年12月。微软的威胁分析师在对网络活动的监测中发现，多台设备正从GitHub仓库下载恶意软件，程序在受感染的系统上部署了一系列其它的恶意载荷。分析表明，这些攻击实际上分为四个阶段，细致入微地展现了攻击者的工作模式及其背后的巨大威胁。

在攻击的第一阶段，攻击者巧妙地将恶意广告嵌入非法盗版流媒体网站的视频中，利用观看或点击广告获取盈利。这些流媒体网站通过电影帧中嵌入恶意重定向器，导致潜在受害者不知情地进入了攻击者控制的恶意GitHub仓库。随后，流量通过一到两个额外的恶意重定向器，最终被引导至恶意网站或技术支持诈骗网站。攻击者的目的显而易见：通过各种手段将用户的流量引导至能够获取其信息和金钱的网络空间。

进入攻击的第二阶段，恶意软件开始执行系统发现功能，深入收集受感染系统的信息，包括内存大小、显卡规格、屏幕分辨率、操作系统版本及用户路径等重要数据。这些信息将为后续的攻击奠定基础，使攻击者能够更加精准地进行目标锁定和信息盗取。

在第三阶段，攻击者使用PowerShell脚本从命令控制服务器下载NetSupport远程访问木马（RAT），并在注册表中悄悄建立持久化机制。一旦执行，恶意软件不仅可以部署Lumina信息窃取程序和开源Doenerium窃取器来窃取用户数据与浏览器凭证，还可能释放两个版本的AutoIt解释器。这种技术的灵活运用使得攻击者能够实现复杂的控制和信息提取。

AutoIt载荷通过RegAsm或PowerShell打开文件，启用远程浏览器调试，进一步窃取用户更多的信息，甚至在某些情况下通过PowerShell配置Windows Defender的排除路径。这一系列的操作不仅使得恶意程序能够在受害者系统中长期隐蔽存在，也让攻击者能够随时获取最新的数据。

值得注意的是，此次攻击行动的主要是GitHub，作为全球最大的代码托管，其便利性为黑客活动提供了可乘之机。微软的威胁情报团队同样发现，Dropbox和Discord等其他也托管了一部分相关载荷，显示出网络攻击者利用多传播实施恶意活动的策略。

有趣的是，此次攻击活动被冠以“Storm-0408”之名，涉及多个与远程访问或信息窃取恶意软件相关的威胁行为者。他们通过钓鱼攻击、搜索引擎优化（SEO）和恶意广告活动来分发各类恶意载荷。一系列复杂的技术手段与策略结合，使得这些攻击成功渗透到了用户的日常网络使用中。

面对如此严峻的威胁，微软的介入显得尤为迫切和重要。通过实时监控和专业分析，微软不仅成功关闭了多个恶意GitHub仓库，还对网络安全的整体防护措施进行了进一步的完善。在网络环境日益复杂的背景下，科技公司在维护网络安全方面的责任和使命愈发凸显。在流量和数据变得如此重要的今天，如何保护用户的信息和安全，成为了科技公司必须深入思考的问题。

专家建议普通用户在日常的网购和在线观看时，务必增强安全意识，慎重对待不明链接和广告，以免成为网络攻击的受害者。企业和个人应积极采取措施，加强自身设备的安全防护，确保用户信息的安全和隐私。在这一过程中，科技公司、网络安全机构和用户三方的共同努力，将会是防止此类恶性事件再度发生的关键。

此次微软捣毁恶意广告网络并成功关闭多个GitHub仓库的举措，显示出在面对日益复杂的网络犯罪时，科技企业必须采取前瞻性与计划性的措施以保护网络环境的安全。只有通过深入的合作与不断的技术创新，才能在网络世界中实现真正的安全与和谐。