Microsoft a divulgué les détails d’une campagne de malvertisage à grande échelle qui aurait eu un impact sur un million d’appareils dans le monde dans le cadre de ce qu’il a dit est une attaque opportuniste conçue pour voler des informations sensibles.
Le géant de la technologie, qui a détecté l’activité début décembre 2024, le suit sous l’égide plus large Storm-0408, un surnom utilisé pour un ensemble d’acteurs de menace qui sont connus pour distribuer un accès à distance ou un malware d’information via le phishing, l’optimisation des moteurs de recherche (référencement) ou la malvertisage.
“L’attaque est originaire de sites Web de streaming illégaux intégrés à des redirecteurs malvertising, menant à un site Web intermédiaire où l’utilisateur a ensuite été redirigé vers Github et deux autres plateformes”, l’équipe Microsoft Threat Intelligence Intelligence dit.
“La campagne a eu un impact sur un large éventail d’organisations et d’industries, y compris des appareils grand public et d’entreprise, mettant en évidence la nature aveugle de l’attaque.”
L’aspect le plus important de la campagne est l’utilisation de GitHub comme plate-forme pour fournir des charges utiles d’accès initial. Dans au moins deux autres instances isolées, les charges utiles ont été trouvées hébergées sur Discord et Dropbox. Les référentiels GitHub ont depuis été retirés. L’entreprise n’a pas révélé combien de ces référentiels ont été supprimés.
Le service d’hébergement de code appartenant à Microsoft agit comme un terrain de mise en scène pour les logiciels malveillants compte-gouttes responsables du déploiement d’une série de programmes supplémentaires tels que Lumma Stealer et Doenerrium, qui, à leur tour, sont capables de collecter des informations sur le système.
L’attaque utilise également une chaîne de redirection sophistiquée comprenant quatre à cinq couches, le redirecteur initial intégré dans un élément IFRAME sur les sites Web de streaming illégal servant du contenu piraté.
La séquence d’infection globale est un processus en plusieurs étapes qui implique la découverte du système, la collecte d’informations et l’utilisation de charges utiles de suivi telles que les scripts NetSupport Rat et AutOIT pour faciliter plus de vol de données. Le cheval de Troie à distance sert également de conduit pour les logiciels malveillants de voleur.
- Première étape – Établir un pied sur les appareils cibles
- Deuxième étape – Reconnaissance du système, collecte et exfiltration et livraison de charge utile
- Troisième étape – Exécution des commandes, livraison de charge utile, évasion défensive, persistance, communications de commandement et de contrôle et exfiltration des données
- Quatrième étape – Script PowerShell pour configurer les exclusions de Microsoft Defender et exécuter les commandes pour télécharger des données à partir d’un serveur distant
Une autre caractéristique des attaques concerne l’utilisation de divers scripts PowerShell pour télécharger Netsupport Rat, identifier les applications installées et les logiciels de sécurité, en scultant en particulier la présence de portefeuilles de crypto-monnaie, indiquant un vol de données financières potentiels.
“Outre les voleurs d’informations, les scripts PowerShell, JavaScript, VBScript et AutOIT ont été exécutés sur l’hôte”, a déclaré Microsoft. “Les acteurs de la menace ont incorporé l’utilisation de binaires et de scripts de vie (lolbas) comme PowerShell.exe, msbuild.exe et Regasm.exe pour C2 et l’exfiltration des données des données utilisateur et des informations d’identification du navigateur.”
La divulgation intervient alors que Kaspersky a révélé que des sites Web de faux se déguisant alors que les chatbots de Deepseek et Grok Artificial Intelligence (AI) sont utilisés pour inciter les utilisateurs à installer un voleur d’informations Python précédemment sans papiers.
Les sites de leurre sur le thème de Deekseek annoncés par des comptes vérifiés sur X (par exemple, @ColeadDisontech, @ Gaurdevang2 et @ saduq5) ont également été utilisés pour exécuter un script PowerShell qui utilise SSH pour accorder un accès à distance aux attaquants à l’ordinateur.
«Les cybercriminels utilisent divers régimes pour attirer les victimes de ressources malveillantes», la société russe de cybersécurité dit. “En règle générale, les liens vers de tels sites sont distribués par le biais de messagers et de réseaux sociaux. Les attaquants peuvent également utiliser la typosquat ou acheter du trafic publicitaire vers des sites malveillants grâce à de nombreux programmes d’affiliation.”




