Microsoft ha eliminado varios repositorios de GitHub utilizados en una gran campaña de malvertising que afectó a casi un millón de dispositivos en todo el mundo.
Los analistas de amenazas de la empresa detectaron estos ataques a principios de diciembre de 2024 después de observar que varios dispositivos descargaban malware desde repositorios de GitHub, malware que luego se utilizaba para desplegar una serie de otros payloads en los sistemas comprometidos.
El Ataque y Cómo Funcionó
Luego de analizar la campaña, descubrieron que los atacantes inyectaron anuncios maliciosos en videos de sitios web de streaming piratas que redirigían a las víctimas potenciales a repositorios de GitHub bajo su control.
“Los sitios web de streaming incrustaron redirigentes de malvertising dentro de los fotogramas de las películas para generar ingresos por pago por vista o pago por clic de plataformas maliciosas”, explicó Microsoft hoy.
“Estos redirigentes posteriormente dirigían el tráfico a través de uno o dos redirigentes adicionales, conduciendo finalmente a otro sitio web, como un sitio de malware o estafa de soporte técnico que luego redirigía a GitHub.”
Etapas del Ataque
Los videos de malvertising redirigieron a los usuarios a los repositorios de GitHub que los infectaron con malware diseñado para realizar descubrimiento de sistemas, recopilar información detallada del sistema (por ejemplo, tamaño de memoria, detalles gráficos, resolución de pantalla, sistema operativo y rutas de usuario) y exfiltrar los datos recolectados mientras desplegaban payloads de segunda etapa.
Un script de PowerShell de tercera etapa descarga el troyano de acceso remoto NetSupport RAT desde un servidor de comando y control y establece persistencia en el registro para el RAT.
Una vez ejecutado, el malware también puede desplegar Lumma (un malware ladrón de información) y Doenerium (un infostealer de código abierto) para exfiltrar datos de usuario y credenciales del navegador.
Fases Posteriores ⚙️
Por otro lado, si el payload de tercera etapa es un archivo ejecutable, crea y ejecuta un archivo CMD mientras deja caer un intérprete de AutoIt renombrado con una extensión .com.
Este componente de AutoIt luego lanza el binario y puede dejar caer otra versión del intérprete de AutoIt con una extensión .scr. También se despliega un archivo JavaScript para ayudar a ejecutar y obtener persistencia para los archivos .scr.
En la última etapa del ataque, los payloads de AutoIt usan RegAsm o PowerShell para abrir archivos, habilitar la depuración remota del navegador y exfiltrar más información.
En algunos casos, también se utiliza PowerShell para configurar rutas de exclusión para Windows Defender o dejar caer más payloads de NetSupport.
Otros Repositorios de Malware ️
Si bien GitHub fue la principal plataforma para alojar los payloads entregados durante la primera etapa de la campaña, Microsoft Threat Intelligence también observó payloads alojados en Dropbox y Discord.
“Esta actividad se rastrea bajo el nombre de Storm-0408 que usamos para rastrear a numerosos actores de amenazas asociados con malware de acceso remoto o robo de información y que utilizan campañas de phishing, optimización de motores de búsqueda (SEO) o malvertising para distribuir payloads maliciosos”, declaró Microsoft.
Impacto Global del Ataque
La campaña afectó a una amplia gama de organizaciones e industrias, incluidos dispositivos tanto de consumidores como de empresas, lo que resalta la naturaleza indiscriminada del ataque, así lo confirmo la compañía de Microsoft.
El informe de la compañía proporciona información adicional y más detallada sobre las diversas etapas de los ataques y los payloads utilizados a lo largo de la cadena de ataque multietapa de esta compleja campaña de malvertising.