Microsoft desarticula campaña de publicidad maliciosa

Iniciado por AXCESS, Marzo 06, 2025, 11:19:12 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Marzo 06, 2025, 11:19:12 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft ha eliminado una cantidad no revelada de repositorios de GitHub utilizados en una campaña masiva de publicidad maliciosa que afectó a casi un millón de dispositivos en todo el mundo.

Los analistas de amenazas de la compañía detectaron estos ataques a principios de diciembre de 2024 después de observar que varios dispositivos descargaban malware de los repositorios de GitHub, malware que luego se utilizó para implementar una serie de otras cargas útiles en los sistemas comprometidos.

Después de analizar la campaña, descubrieron que los atacantes inyectaron anuncios en videos en sitios web de transmisión pirateados ilegales que redirigen a las víctimas potenciales a repositorios maliciosos de GitHub bajo su control.

"Los sitios web de transmisión incorporaron redireccionadores de publicidad maliciosa dentro de los fotogramas de las películas para generar ingresos de pago por visualización o pago por clic a partir de plataformas de publicidad maliciosa", explicó Microsoft hoy. "Estos redireccionadores posteriormente enrutaron el tráfico a través de uno o dos redireccionadores maliciosos adicionales, lo que finalmente llevó a otro sitio web, como un sitio web de malware o de estafa de soporte técnico, que luego redirigió a GitHub".

Los videos de publicidad maliciosa redireccionaban a los usuarios a los repositorios de GitHub que los infectaban con malware diseñado para realizar el descubrimiento del sistema, recopilar información detallada del sistema (por ejemplo, tamaño de la memoria, detalles gráficos, resolución de pantalla, sistema operativo (OS) y rutas de usuario) y exfiltrar los datos recopilados mientras se implementaban cargas útiles adicionales de la etapa dos.

Luego, una carga útil de script de PowerShell de tercera etapa descarga el troyano de acceso remoto (RAT) NetSupport desde un servidor de comando y control y establece persistencia en el registro para el RAT. Una vez ejecutado, el malware también puede implementar el malware ladrón de información Lumma y el ladrón de información de código abierto Doenerium para exfiltrar datos de usuario y credenciales del navegador.

Etapas del ataque


Por otro lado, si la carga útil de la tercera etapa es un archivo ejecutable, crea y ejecuta un archivo CMD mientras coloca un intérprete de AutoIt renombrado con una extensión .com. Luego, este componente de AutoIt lanza el binario y puede colocar otra versión del intérprete de AutoIt con una extensión .scr. También se implementa un archivo JavaScript para ayudar a ejecutar y obtener persistencia para los archivos .scr.

En la última etapa del ataque, las cargas útiles de AutoIt usan RegAsm o PowerShell para abrir archivos, habilitar la depuración remota del navegador y exfiltrar información adicional. En algunos casos, PowerShell también se usa para configurar rutas de exclusión para Windows Defender o para colocar más cargas útiles de NetSupport.

Si bien GitHub fue la plataforma principal para alojar las cargas útiles entregadas durante la primera etapa de la campaña, Microsoft Threat Intelligence también observó cargas útiles alojadas en Dropbox y Discord.

"Esta actividad se rastrea bajo el nombre genérico Storm-0408 que utilizamos para rastrear a numerosos actores de amenazas asociados con el acceso remoto o malware de robo de información y que utilizan campañas de phishing, optimización de motores de búsqueda (SEO) o publicidad maliciosa para distribuir cargas útiles maliciosas", dijo Microsoft.

"La campaña afectó a una amplia gama de organizaciones e industrias, incluidos dispositivos de consumo y empresariales, lo que destaca la naturaleza indiscriminada del ataque".

El informe de Microsoft proporciona información adicional y más detallada sobre las distintas etapas de los ataques y las cargas útiles utilizadas en la cadena de ataque de múltiples etapas de esta compleja campaña de publicidad maliciosa.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario