Des millions de dispositifs ont été victimes d’une campagne de malvertising, orchestrée via des sites de streaming illégaux. Les attaquants, en injectant des publicités malveillantes, ont réussi à infecter des systèmes pour exfiltrer des données. Cela soulève des questions essentielles sur la sécurité en ligne et les dangers des contenus piratés.
Microsoft révèle que son équipe d’analyse des menaces a détecté une campagne de malvertising à grande échelle ayant touché près d’un million de dispositifs à l’échelle mondiale en décembre 2024.
L’entreprise a retracé l’attaque jusqu’à deux sites de streaming illégaux – movies7 et 0123movie – intégrés avec des redirections malveillantes. Les attaquants ont injecté des publicités dans les vidéos hébergées sur ces sites. Celles-ci généraient des revenus à la demande pour les plateformes de malvertising, redirigeant ensuite le trafic par une ou deux redirections malveillantes supplémentaires.
Les victimes étaient finalement dirigées vers d’autres sites web, tels qu’un site de fraude au support technique, qui redirigeait ensuite vers GitHub.
Les dépôts GitHub, depuis supprimés, contenaient des malwares utilisés pour déployer des fichiers et scripts malveillants supplémentaires. Une fois que quiconque avait téléchargé le malware, il était utilisé pour collecter des informations sur le système et déployer des charges utiles de deuxième étape pour exfiltrer des documents et des données.
Une charge utile de troisième étape, sous forme de script PowerShell, a ensuite téléchargé le trojan d’accès à distance (RAT) NetSupport depuis un serveur de commandement et de contrôle et a créé une persistance dans le registre. Le RAT pouvait livrer le malware Lumma, un voleur d’informations ou une version mise à jour du voleur d’informations Doenerium.
Le malware permettait également aux attaquants d’espionner l’activité de navigation des victimes et même d’interagir avec un navigateur actif, y compris Firefox, Chrome et Edge.
Les charges utiles de première étape étaient signées numériquement avec un certificat nouvellement créé et incluaient des fichiers légitimes pour dissimuler leur véritable nature. Au total, douze certificats différents ont été identifiés, tous ont ensuite été révoqués.
Bien que GitHub ait été la principale plateforme utilisée pour la livraison de ces charges utiles, Microsoft a également trouvé une charge utile hébergée sur Discord et une autre sur Dropbox. Tout comme pour GitHub, les pages hébergeant le malware sur ces plateformes ont été supprimées.
Microsoft indique que la campagne a été indiscriminée, touchant à la fois les dispositifs des consommateurs et ceux des entreprises. Elle précise également que le logiciel Microsoft Defender de Windows peut détecter et signaler le malware utilisé dans l’attaque.