Microsoft ha eliminado una cantidad no revelada de repositorios de GitHub utilizados en una campaña masiva de publicidad maliciosa que afectó a casi un millón de dispositivos en todo el mundo.
Los analistas de amenazas de la compañía detectaron estos ataques a principios de diciembre de 2024 después de observar que varios dispositivos descargaban malware de los repositorios de GitHub, malware que luego se utilizó para implementar una serie de otras cargas útiles en los sistemas comprometidos.
Después de analizar la campaña, descubrieron que los atacantes inyectaron anuncios en videos en sitios web de transmisión pirateados ilegales que redirigen a las víctimas potenciales a repositorios maliciosos de GitHub bajo su control.
Los videos de publicidad maliciosa redirigieron a los usuarios a los repositorios de GitHub que los infectaron con malware diseñado para realizar el descubrimiento del sistema, recopilar información detallada del sistema (por ejemplo, tamaño de la memoria, detalles gráficos, resolución de pantalla, sistema operativo (OS) y rutas de usuario) y exfiltrar los datos recopilados mientras implementaban cargas útiles adicionales de la etapa dos.
Luego, una carga útil de script de PowerShell de tercera etapa descarga el troyano de acceso remoto (RAT) NetSupport desde un servidor de comando y control y establece persistencia en el registro para el RAT. Una vez ejecutado, el malware también puede implementar el malware ladrón de información Lumma y el ladrón de información de código abierto Doenerium para exfiltrar datos de usuario y credenciales del navegador.
Por otro lado, si la carga útil de la tercera etapa es un archivo ejecutable, crea y ejecuta un archivo CMD mientras coloca un intérprete de AutoIt renombrado con una extensión .com. Luego, este componente de AutoIt lanza el binario y puede colocar otra versión del intérprete de AutoIt con una extensión .scr. También se implementa un archivo JavaScript para ayudar a ejecutar y obtener persistencia para los archivos .scr.
En la última etapa del ataque, las cargas útiles de AutoIt usan RegAsm o PowerShell para abrir archivos, habilitar la depuración remota del navegador y exfiltrar información adicional. En algunos casos, PowerShell también se usa para configurar rutas de exclusión para Windows Defender o para colocar más cargas útiles de NetSupport.
Si bien GitHub fue la plataforma principal para alojar las cargas útiles entregadas durante la primera etapa de la campaña, Microsoft Threat Intelligence también observó cargas útiles alojadas en Dropbox y Discord.
El informe de Microsoft proporciona información adicional y más detallada sobre las distintas etapas de los ataques y las cargas útiles utilizadas en la cadena de ataque de múltiples etapas de esta compleja campaña de publicidad maliciosa.
