A Microsoft desativou um número não revelado de repositórios no GitHub usados em uma extensa campanha de malvertising que afetou quase um milhão de dispositivos ao redor do mundo.
Os analistas de ameaças da empresa detectaram esses ataques no início de dezembro de 2024, após observarem múltiplos dispositivos baixando malware de repositórios no GitHub, malware esse que foi posteriormente utilizado para implantar uma série de outros payloads nos sistemas comprometidos.
Após analisarem a campanha, descobriram que os atacantes injetaram anúncios em vídeos em sites ilegais de streaming pirata, que redirecionavam as potenciais vítimas para repositórios maliciosos no GitHub sob o controle deles.
"Os sites de streaming incorporaram redirecionadores de malvertising dentro dos quadros do filme para gerar receita de pay-per-view ou pay-per-click a partir de plataformas de malvertising", explicou a Microsoft hoje.
Esses redirecionadores subsequentemente encaminhavam o tráfego através de um ou dois redirecionadores maliciosos adicionais, levando finalmente a outro site, como um site de malware ou golpe de suporte técnico, que então redirecionava para o GitHub.
Os vídeos de malvertising redirecionavam os usuários para os repositórios no GitHub que os infectavam com malware projetado para realizar descoberta do sistema, coletar informações detalhadas do sistema (por exemplo, tamanho da memória, detalhes gráficos, resolução de tela, sistema operacional (OS) e caminhos do usuário) e exfiltrar os dados colhidos, enquanto implantava payloads de segunda fase adicionais.
Um payload de script PowerShell de terceira fase então baixa o trojan de acesso remoto (RAT) NetSupport de um servidor de comando e controle e estabelece persistência no registro para o RAT.
Uma vez executado, o malware também pode implantar o malware de furto de informações Lumma e o infostealer Doenerium de código aberto para exfiltrar dados do usuário e credenciais do navegador.
Por outro lado, se o payload de terceira fase é um arquivo executável, ele cria e executa um arquivo CMD enquanto solta um interpretador AutoIt renomeado com uma extensão .com.
Esse componente AutoIt então lança o binário e pode soltar outra versão do interpretador AutoIt com uma extensão .scr.
Um arquivo JavaScript também é implantado para ajudar na execução e ganhar persistência para arquivos .scr.
Na última etapa do ataque, os payloads AutoIt usam RegAsm ou PowerShell para abrir arquivos, habilitar depuração remota do navegador e exfiltrar informações adicionais.
Em alguns casos, PowerShell também é usado para configurar caminhos de exclusão para o Windows Defender ou para soltar mais payloads do NetSupport.
Enquanto o GitHub foi a plataforma principal para hospedar payloads entregues durante a primeira fase da campanha, a Microsoft Threat Intelligence também observou payloads hospedados no Dropbox e Discord.
"Esta atividade é monitorada sob o nome Storm-0408 que usamos para rastrear diversos atores de ameaças associados com malware de acesso remoto ou furto de informações e que usam phishing, otimização de mecanismo de busca (SEO) ou campanhas de malvertising para distribuir payloads maliciosos", disse a Microsoft.
A campanha impactou uma ampla gama de organizações e indústrias, incluindo dispositivos de consumidores e empresas, destacando a natureza indiscriminada do ataque.
O relatório da Microsoft fornece informações adicionais e mais detalhadas a respeito das várias etapas dos ataques e os payloads usados ao longo da cadeia de ataque multi-estágio desta complexa campanha de malvertising.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...