Microsoft ha revelado una campaña masiva de malvertising que ha afectado a más de un millón de dispositivos en todo el mundo, con el objetivo de robar información sensible.
Detectada por el equipo de inteligencia de amenazas de Microsoft a principios de diciembre de 2024, esta operación ha sido atribuida al grupo identificado como Storm-0408. Este colectivo de actores maliciosos es conocido por distribuir malware de acceso remoto o de robo de información a través de técnicas como phishing, optimización de motores de búsqueda (SEO) y malvertising.
El ataque se originó en sitios web de streaming ilegales que contenían redireccionadores maliciosos incrustados. Estos redireccionaban a los usuarios a un sitio web intermediario, desde donde eran conducidos a plataformas como GitHub. Esta campaña ha impactado a una amplia gama de organizaciones e industrias, afectando tanto a dispositivos de consumidores como empresariales, lo que resalta la naturaleza indiscriminada del ataque.
Un aspecto notable de esta campaña es el uso de GitHub como plataforma para entregar las cargas útiles iniciales. En al menos dos casos aislados, se encontraron cargas útiles alojadas en Discord y Dropbox. Los repositorios de GitHub involucrados han sido eliminados, aunque Microsoft no ha especificado cuántos fueron retirados.
El malware inicial actuaba como un dropper, desplegando programas adicionales como Lumma Stealer y Doenerium, capaces de recopilar información del sistema. La cadena de redirección utilizada en el ataque es sofisticada, con cuatro o cinco capas, comenzando con un redireccionador incrustado en un elemento iframe en sitios de streaming ilegales que ofrecen contenido pirateado.
La secuencia de infección es un proceso de múltiples etapas que incluye el establecimiento de una base en los dispositivos objetivo, reconocimiento del sistema, recopilación y exfiltración de datos, y la entrega de cargas útiles adicionales como NetSupport RAT y scripts de AutoIT para facilitar más robos de datos. El troyano de acceso remoto también sirve como conducto para malware de robo de información.
Además, se han utilizado diversos scripts de PowerShell para descargar NetSupport RAT, identificar aplicaciones instaladas y software de seguridad, y escanear la presencia de billeteras de criptomonedas, lo que indica un posible robo de datos financieros. Los actores de amenazas también han empleado binarios y scripts legítimos, como PowerShell.exe, MSBuild.exe y RegAsm.exe, para comunicaciones de comando y control y exfiltración de datos de credenciales de usuario y del navegador.
Esta revelación subraya la creciente sofisticación de las campañas de malvertising y la necesidad de que los usuarios y organizaciones mantengan prácticas de seguridad robustas para protegerse contra tales amenazas.
