Microsoft a supprimé un nombre non divulgué de référentiels GitHub utilisés dans une campagne massive de publicité malveillante qui a touché près d’un million d’appareils dans le monde.
Les analystes des menaces de l’entreprise ont détecté ces attaques début décembre 2024 après avoir observé plusieurs appareils télécharger des logiciels malveillants à partir de dépôts GitHub, des logiciels malveillants qui ont ensuite été utilisés pour déployer une série de diverses autres charges utiles sur des systèmes compromis.
Après avoir analysé la campagne, ils ont découvert que les attaquants injectaient des publicités dans des vidéos sur des sites de streaming piratés illégaux qui redirigeaient les victimes potentielles vers des référentiels GitHub malveillants sous leur contrôle.
« Les sites Web de streaming ont intégré des redirecteurs de publicité malveillante dans les images de films pour générer des revenus à la carte ou au paiement par clic à partir des plateformes de publicité malveillante », a expliqué Microsoft aujourd’hui. « Ces redirecteurs ont ensuite acheminé le trafic via un ou deux redirecteurs malveillants supplémentaires, menant finalement à un autre site Web, tel qu’un site Web frauduleux de malware ou de support technique, qui a ensuite redirigé vers GitHub. »
Les vidéos malveillantes redirigeaient les utilisateurs vers les dépôts GitHub qui les infectaient avec des logiciels malveillants conçus pour effectuer la découverte du système, collecter des informations détaillées sur le système (par exemple, taille de la mémoire, détails graphiques, résolution d’écran, système d’exploitation (OS) et chemins d’accès des utilisateurs), et exfiltrer les données récoltées tout en déployant des charges utiles supplémentaires de deuxième étape.
Une charge utile de script PowerShell de troisième étape télécharge ensuite le cheval de Troie d’accès distant NetSupport (RAT) à partir d’un serveur de commande et de contrôle et établit la persistance dans le registre pour le RAT. Une fois exécuté, le logiciel malveillant peut également déployer le logiciel malveillant Lumma information stealer et l’infostealer open source Doenerium pour exfiltrer les données utilisateur et les informations d’identification du navigateur.
D’autre part, si la charge utile de troisième étape est un fichier exécutable, elle crée et exécute un fichier CMD tout en supprimant un interpréteur AutoIt renommé avec une extension. com. Ce composant AutoIt lance ensuite le binaire et peut déposer une autre version de l’interpréteur AutoIt avec un .extension du scr. Un fichier JavaScript est également déployé pour faciliter l’exécution et gagner en persistance .fichiers scr.
Dans la dernière étape de l’attaque, les charges utiles AutoIt utilisent RegAsm ou PowerShell pour ouvrir des fichiers, activer le débogage du navigateur à distance et exfiltrer des informations supplémentaires. Dans certains cas, PowerShell est également utilisé pour configurer des chemins d’exclusion pour Windows Defender ou pour supprimer davantage de charges utiles NetSupport.
Alors que GitHub était la principale plate-forme pour héberger les charges utiles livrées lors de la première étape de la campagne, Microsoft Threat Intelligence a également observé des charges utiles hébergées sur Dropbox et Discord.
« Cette activité est suivie sous le nom générique Storm-0408 que nous utilisons pour suivre de nombreux acteurs de la menace associés à des logiciels malveillants d’accès à distance ou de vol d’informations et qui utilisent des campagnes de phishing, d’optimisation des moteurs de recherche (SEO) ou de publicité malveillante pour distribuer des charges utiles malveillantes », Microsoft a déclaré.
« La campagne a eu un impact sur un large éventail d’organisations et d’industries, y compris les appareils grand public et d’entreprise, soulignant la nature aveugle de l’attaque. »
Le rapport de Microsoft fournit des informations supplémentaires et plus détaillées sur les différentes étapes des attaques et les charges utiles utilisées tout au long de la chaîne d’attaque en plusieurs étapes de cette campagne complexe de publicité malveillante.