Microsoft ha dado a conocer detalles sobre una campaña de publicidad maliciosa a gran escala que, según se estima, ha afectado a más de un millón de dispositivos a nivel mundial, como parte de un ataque oportunista diseñado para robar información confidencial.

El gigante tecnológico, que detectó la actividad a principios de diciembre de 2024, está rastreando este ataque bajo el nombre Storm-0408, utilizado para referirse a un grupo de actores de amenazas conocidos por distribuir malware de acceso remoto o para robar información mediante phishing, optimización de motores de búsqueda (SEO) o malvertising.

“El ataque se originó en sitios web de streaming ilegales que contenían redireccionadores de publicidad maliciosa, lo que redirigió a los usuarios a un sitio intermediario desde donde fueron dirigidos a GitHub y otras dos plataformas”, comentó el equipo de Inteligencia de Amenazas de Microsoft.

“La campaña afectó a una amplia variedad de organizaciones e industrias, incluyendo dispositivos tanto de consumo como empresariales, lo que resalta la naturaleza indiscriminada del ataque”.

Lo más destacado de esta campaña es el uso de GitHub como plataforma para entregar los payloads iniciales. En al menos dos casos adicionales, los payloads se encontraron alojados en Discord y Dropbox. Los repositorios de GitHub han sido eliminados desde entonces, aunque la empresa no ha especificado cuántos fueron eliminados.

GitHub, propiedad de Microsoft, fue utilizado como base para el malware dropper, responsable de implementar programas adicionales como Lumma Stealer y Doenerium, los cuales son capaces de recopilar información del sistema.

El ataque también utiliza una cadena de redirección sofisticada que consta de cuatro a cinco capas, con el redireccionador inicial integrado en un iframe dentro de sitios de transmisión ilegal que ofrecen contenido pirateado.

La secuencia de infección sigue un proceso de varias etapas: descubrimiento del sistema, recopilación de información, y el uso de payloads posteriores como NetSupport RAT y scripts AutoIT, que facilitan el robo de más datos. El troyano de acceso remoto también sirve como conducto para el malware ladrón.

Las etapas incluyen:

1. Establecer un punto de apoyo en los dispositivos de destino.
2. Reconocimiento, recolección y exfiltración del sistema, y entrega de la carga útil.
3. Ejecución de comandos, entrega de carga útil, evasión de defensas, persistencia, comunicación de comando y control, y exfiltración de datos.
4. Uso de un script de PowerShell para configurar exclusiones en Microsoft Defender y ejecutar comandos para descargar datos desde un servidor remoto.

Otra característica de los ataques es el uso de varios scripts de PowerShell para descargar NetSupport RAT, identificar aplicaciones instaladas y escanear el software de seguridad, buscando específicamente billeteras de criptomonedas, lo que sugiere un posible robo de datos financieros.

“Además de los ladrones de información, se ejecutaron scripts de PowerShell, JavaScript, VBScript y AutoIT en el host”, indicó Microsoft. “Los actores de amenazas también utilizaron binarios y scripts como PowerShell.exe, MSBuild.exe y RegAsm.exe para C2 y la exfiltración de datos de usuario y credenciales del navegador”.

Esta revelación llega después de que Kaspersky informara que se están utilizando sitios web falsos que simulan ser chatbots de inteligencia artificial (IA) como DeepSeek y Grok, con el fin de engañar a los usuarios para que instalen un ladrón de información Python previamente no documentado.

Los sitios de engaño con temática DeepSeek, promocionados por cuentas verificadas en X (como @ColeAddisonTech, @gaurdevang2 y @saduq5), también han sido utilizados para ejecutar un script de PowerShell que emplea SSH para dar acceso remoto a los atacantes.

“La cibercriminalidad emplea diversos métodos para atraer a las víctimas hacia recursos maliciosos”, comentó la empresa rusa de ciberseguridad. “Normalmente, los enlaces a dichos sitios se distribuyen a través de mensajeros y redes sociales. Los atacantes también pueden usar typosquatting o comprar tráfico publicitario hacia sitios maliciosos mediante programas de afiliados”.

Fuente: thehackernews.com