Microsoft ha revelado detalles de una campaña de publicidad maliciosa a gran escala que se estima ha afectado a más de un millón de dispositivos en todo el mundo como parte de lo que dice es un ataque oportunista diseñado para robar información confidencial.
El gigante tecnológico, que detectó la actividad a principios de diciembre de 2024, la está rastreando bajo el paraguas más amplio Storm-0408, un apodo utilizado para un conjunto de actores de amenazas que se sabe que distribuyen malware de acceso remoto o de robo de información a través de phishing, optimización de motores de búsqueda (SEO) o malvertising.
«El ataque se originó en sitios web de streaming ilegales integrados con redireccionadores de publicidad maliciosa, lo que llevó a un sitio web intermediario donde el usuario fue redirigido a GitHub y otras dos plataformas», dijo el equipo de Inteligencia de Amenazas de Microsoft.
«La campaña afectó a una amplia gama de organizaciones e industrias, incluidos dispositivos tanto de consumo como empresariales, lo que pone de relieve la naturaleza indiscriminada del ataque».
El aspecto más significativo de la campaña es el uso de GitHub como plataforma para entregar payloads de acceso inicial. En al menos otros dos casos aislados, los payloads se encontraron alojados en Discord y Dropbox. Los repositorios de GitHub fueron eliminados desde entonces. La empresa no reveló cuántos de esos repositorios fueron eliminados.
El servicio de alojamiento de código propiedad de Microsoft actúa como base para el malware dropper que es responsable de implementar una serie de programas adicionales como Lumma Stealer y Doenerium, que, a su vez, son capaces de recopilar información del sistema.
El ataque también emplea una sofisticada cadena de redirección que comprende de cuatro a cinco capas, con el redirector inicial integrado dentro de un elemento iframe en sitios web de transmisión ilegal que ofrecen contenido pirateado.
La secuencia general de infección es un proceso de varias etapas que implica el descubrimiento del sistema, la recopilación de información y el uso de cargas útiles posteriores, como NetSupport RAT y scripts AutoIT, para facilitar el robo de más datos. El troyano de acceso remoto también sirve como conducto para el malware ladrón.
- Primera etapa: establecer un punto de apoyo en los dispositivos de destino
- Segunda etapa: reconocimiento, recolección y exfiltración del sistema y entrega de la carga útil
- Tercera etapa: ejecución de comandos, entrega de carga útil, evasión defensiva, persistencia, comunicaciones de comando y control y exfiltración de datos.
- Cuarta etapa: script de PowerShell para configurar exclusiones de Microsoft Defender y ejecutar comandos para descargar datos de un servidor remoto.
Otra característica de los ataques se refiere al uso de varios scripts de PowerShell para descargar NetSupport RAT, identificar aplicaciones instaladas y software de seguridad, escaneando específicamente la presencia de billeteras de criptomonedas, lo que indica un posible robo de datos financieros.
«Además de los ladrones de información, se ejecutaron en el host scripts de PowerShell, JavaScript, VBScript y AutoIT», afirmó Microsoft. «Los actores de amenazas incorporaron el uso de binarios y scripts que viven fuera de la tierra (LOLBAS) como PowerShell.exe, MSBuild.exe y RegAsm.exe para C2 y exfiltración de datos de usuario y credenciales del navegador».
La revelación se produce luego de que Kaspersky reveló que se están utilizando sitios web falsos que se hacen pasar por chatbots de inteligencia artificial (IA) DeepSeek y Grok para engañar a los usuarios para que instalen un ladrón de información Python previamente no documentado.
Los sitios señuelo con temática DeekSeek publicitados por cuentas verificadas en X (por ejemplo, @ColeAddisonTech, @gaurdevang2 y @saduq5) también se han empleado para ejecutar un script de PowerShell que usa SSH para otorgar a los atacantes acceso remoto a la computadora.
«Los cibercriminales utilizan diversos esquemas para atraer a las víctimas a recursos maliciosos», afirmó la empresa rusa de ciberseguridad . «Normalmente, los enlaces a dichos sitios se distribuyen a través de mensajeros y redes sociales. Los atacantes también pueden utilizar el typosquatting o comprar tráfico publicitario a sitios maliciosos a través de numerosos programas de afiliados».
Fuente y redacción: thehackernews.com
