Microsoft ha revelado detalles de una campaña de malvertición a gran escalera que se estima que ha afectado a más de un millón de dispositivos a nivel mundial como parte de lo que dijo que es un ataque oportunista diseñado para robar información confidencial.
El superhombre tecnológico, que detectó la actividad a principios de diciembre de 2024, lo está rastreando bajo el paraguas más amplio Storm-0408, un apodo utilizado para un conjunto de actores de amenazas que se sabe que distribuyen ataque remoto o malware de robo de información a través de phishing, optimización de motores de búsqueda (SEO) o malvertimiento.
“El ataque se originó en sitios web de transmisión ilegal integrados con redirectores malvertidos, lo que llevó a un sitio web intermediario donde el usufructuario fue redirigido a GitHub y otras dos plataformas”, dijo el equipo de inteligencia de amenazas de Microsoft.
“La campaña impactó a una amplia abanico de organizaciones e industrias, incluidos dispositivos de consumidores y empresas, destacando la naturaleza indiscriminada del ataque”.
El aspecto más significativo de la campaña es el uso de GitHub como plataforma para entregar cargas enseres de ataque original. En al menos otras dos instancias aisladas, las cargas enseres se han opuesto alojadas en Discord y Dropbox. Desde entonces, los repositorios de Github han sido derribados. La compañía no reveló cuántos repositorios se eliminaron.
El servicio de alojamiento de código propiedad de Microsoft actúa como un campo de puesta en terreno para el malware de cuentagotas responsable de implementar una serie de programas adicionales como Lumma Stealer y Doenerium, que, a su vez, son capaces de compilar información del sistema.
El ataque igualmente emplea una sofisticada condena de redirección que comprende cuatro a cinco capas, con el redirector original integrado adentro de un punto de iframe en sitios web de transmisión ilegal que sirve contenido pirateado.
La secuencia de infección genérico es un proceso de varias etapas que involucra el descubrimiento del sistema, la compilación de información y el uso de cargas enseres de seguimiento, como los scripts de rata de soporte de NetS y Autoit para proveer más robo de datos. El troyano de ataque remoto igualmente sirve como conducto para el malware de robador.
- Primera etapa: establezca un punto de apoyo en los dispositivos de destino
- Segunda etapa: agradecimiento del sistema, monasterio y exfiltración y entrega de carga útil
- Tercera etapa: ejecución de comandos, entrega de carga útil, diversión defensiva, persistencia, comunicaciones de comando y control y exfiltración de datos
- Cuarta etapa: el script PowerShell para configurar las exclusiones del defensor de Microsoft y ejecutar comandos para descargar datos de un servidor remoto
Otra característica de los ataques se refiere al uso de varios scripts de PowerShell para descargar NetSupport Rat, identificar aplicaciones instaladas y software de seguridad, específicamente escaneando para la presencia de billeteras de criptomonedas, lo que indica un posible robo de datos financieros.
“Adicionalmente de los robos de información, PowerShell, JavaScript, VBScript y Autoit Scripts se ejecutaron en el host”, dijo Microsoft. “Los actores de amenaza incorporaron el uso de binarios y scripts de la tierra (LOLBAS) como PowerShell.exe, MSBuild.exe y Regasm.exe para C2 y la exfiltración de datos de datos de usuarios y credenciales de navegador”.
La divulgación se produce cuando Kaspersky reveló que los sitios web falsos disfrazados de los chatbots de inteligencia químico (IA) de Deepseek y Grok se están utilizando para engañar a los usuarios para que instalaran un robador de información de Python previamente indocumentado.
Los sitios de señuelo temáticos de Deekseek anunciados por cuentas verificadas en X (por ejemplo, @coleaddisontech, @gaurdevang2 y @saduq5) igualmente se han empleado para ejecutar un script de PowerShell que usa SSH para otorgar a los atacantes ataque remoto a la computadora.
“Los ciberdelincuentes usan varios esquemas para atraer a las víctimas a los bienes maliciosos”, dijo la compañía de seguridad cibernética rusa. “Por lo genérico, los vínculos con tales sitios se distribuyen a través de mensajeros y redes sociales. Los atacantes igualmente pueden usar el tráfico publicitario o comprar en sitios maliciosos a través de numerosos programas de afiliados “.
