Microsoft ha revelado detalles de una campaña de malvertición a gran escala que se estima que ha afectado a más de un millón de dispositivos a nivel mundial como parte de lo que dijo que es un ataque oportunista diseñado para robar información confidencial.
El gigante tecnológico, que detectó la actividad a principios de diciembre de 2024, lo está rastreando bajo el paraguas más amplio Storm-0408, un apodo utilizado para un conjunto de actores de amenazas que se sabe que distribuyen acceso remoto o malware de robo de información a través de phishing, optimización de motores de búsqueda (SEO) o malvertimiento.
«El ataque se originó en sitios web de transmisión ilegal integrados con redirectores malvertidos, lo que llevó a un sitio web intermediario donde el usuario fue redirigido a GitHub y otras dos plataformas», dijo el equipo de inteligencia de amenazas de Microsoft.
«La campaña impactó a una amplia gama de organizaciones e industrias, incluidos dispositivos de consumidores y empresas, destacando la naturaleza indiscriminada del ataque».
El aspecto más significativo de la campaña es el uso de GitHub como plataforma para entregar cargas útiles de acceso inicial. En al menos otras dos instancias aisladas, las cargas útiles se han encontrado alojadas en Discord y Dropbox. Desde entonces, los repositorios de Github han sido derribados. La compañía no reveló cuántos repositorios se eliminaron.
El servicio de alojamiento de código propiedad de Microsoft actúa como un campo de puesta en escena para el malware de gotero responsable de implementar una serie de programas adicionales como Lumma Stealer y Doenerium, que, a su vez, son capaces de recopilar información del sistema.
El ataque también emplea una sofisticada cadena de redirección que comprende cuatro a cinco capas, con el redirector inicial integrado dentro de un elemento de iframe en sitios web de transmisión ilegal que sirve contenido pirateado.
La secuencia de infección general es un proceso de varias etapas que involucra el descubrimiento del sistema, la recopilación de información y el uso de cargas útiles de seguimiento, como los scripts de rata de soporte de NetS y Autoit para facilitar más robo de datos. El troyano de acceso remoto también sirve como conducto para el malware de robador.
- Primera etapa: establezca un punto de apoyo en los dispositivos de destino
- Segunda etapa: reconocimiento del sistema, recolección y exfiltración y entrega de carga útil
- Tercera etapa: ejecución de comandos, entrega de carga útil, evasión defensiva, persistencia, comunicaciones de comando y control y exfiltración de datos
- Cuarta etapa: el script PowerShell para configurar las exclusiones del defensor de Microsoft y ejecutar comandos para descargar datos de un servidor remoto
Otra característica de los ataques se refiere al uso de varios scripts de PowerShell para descargar NetSupport Rat, identificar aplicaciones instaladas y software de seguridad, específicamente escaneando para la presencia de billeteras de criptomonedas, lo que indica un posible robo de datos financieros.
«Además de los robos de información, PowerShell, JavaScript, VBScript y Autoit Scripts se ejecutaron en el host», dijo Microsoft. «Los actores de amenaza incorporaron el uso de binarios y scripts de la tierra (LOLBAS) como PowerShell.exe, MSBuild.exe y Regasm.exe para C2 y la exfiltración de datos de datos de usuarios y credenciales de navegador».
La divulgación se produce cuando Kaspersky reveló que los sitios web falsos disfrazados de los chatbots de inteligencia artificial (IA) de Deepseek y Grok se están utilizando para engañar a los usuarios para que instalaran un robador de información de Python previamente indocumentado.
Los sitios de señuelo temáticos de Deekseek anunciados por cuentas verificadas en X (por ejemplo, @coleaddisontech, @gaurdevang2 y @saduq5) también se han empleado para ejecutar un script de PowerShell que usa SSH para otorgar a los atacantes acceso remoto a la computadora.
«Los ciberdelincuentes usan varios esquemas para atraer a las víctimas a los recursos maliciosos», dijo la compañía de seguridad cibernética rusa. «Por lo general, los vínculos con tales sitios se distribuyen a través de mensajeros y redes sociales. Los atacantes también pueden usar el tráfico publicitario o comprar en sitios maliciosos a través de numerosos programas de afiliados «.