Microsoft admet l’hébergement involontaire d’un logiciel malveillant sur GitHub qui a infecté près d'un million d'appareils,les cybercriminels ont exploité des publicités piégées sur des sites de streaming illégaux
Une récente enquête menée par Microsoft Threat Intelligence a mis en lumière une vaste campagne de malvertising (publicités malveillantes) ayant infecté près d'un million d'appareils en exploitant des annonces piégées sur des sites de streaming illégaux. Cette attaque, débutée en décembre 2024, redirigeait les visiteurs de ces sites vers des pages frauduleuses, les conduisant ensuite vers des plateformes telles que GitHub, Dropbox et Discord, où le logiciel malveillant était hébergé.
Les sites identifiés comme principaux vecteurs de cette propagation sont movies7[.]net et 0123movie[.]art. Le mécanisme de l'attaque reposait sur des publicités intégrées dans les vidéos de ces sites, générant des redirections successives vers des pages d'arnaques au support technique. Les victimes étaient ensuite incitées à télécharger des logiciels prétendument utiles, mais contenant en réalité des programmes malveillants.
Cette campagne souligne les risques associés à l'utilisation de sites de streaming illégaux, souvent financés par des publicités non contrôlées pouvant servir de vecteurs pour des logiciels malveillants. Les cybercriminels exploitent ces plateformes pour diffuser leurs attaques à grande échelle, profitant de l'attrait des utilisateurs pour du contenu gratuit ou piraté.
Envoyé par Microsoft
Début décembre 2024, Microsoft Threat Intelligence a détecté une campagne de malvertising à grande échelle qui a touché près d'un million d'appareils dans le monde entier dans le cadre d'une attaque opportuniste visant à voler des informations. L'attaque provenait de sites de streaming illégaux intégrant des redirecteurs de publicité malveillante, menant à un site web intermédiaire où l'utilisateur était ensuite redirigé vers GitHub et deux autres plateformes. La campagne a touché un large éventail d'organisations et d'industries, y compris des appareils grand public et d'entreprise, mettant en évidence la nature indiscriminée de l'attaque.
GitHub a été la principale plateforme utilisée pour la livraison des charges utiles d'accès initial et est référencée tout au long de ce billet de blog ; cependant, Microsoft Threat Intelligence a également observé une charge utile hébergée sur Discord et une autre hébergée sur Dropbox.
Les dépôts GitHub, qui ont été supprimés, stockaient des logiciels malveillants utilisés pour déployer d'autres fichiers et scripts malveillants. Une fois que le logiciel malveillant initial provenant de GitHub a pris pied sur l'appareil, les fichiers supplémentaires déployés avaient une approche modulaire et en plusieurs étapes de la livraison, de l'exécution et de la persistance de la charge utile. Les fichiers ont été utilisés pour collecter des informations sur le système et pour mettre en place d'autres logiciels malveillants et scripts afin d'exfiltrer des documents et des données de l'hôte compromis. Cette activité est répertoriée sous le nom de Storm-0408 que nous utilisons pour suivre de nombreux acteurs associés à des logiciels malveillants d'accès à distance ou de vol d'informations et qui utilisent des campagnes de phishing, d'optimisation des moteurs de recherche (SEO) ou de malvertising pour distribuer des charges utiles malveillantes.
GitHub a été la principale plateforme utilisée pour la livraison des charges utiles d'accès initial et est référencée tout au long de ce billet de blog ; cependant, Microsoft Threat Intelligence a également observé une charge utile hébergée sur Discord et une autre hébergée sur Dropbox.
Les dépôts GitHub, qui ont été supprimés, stockaient des logiciels malveillants utilisés pour déployer d'autres fichiers et scripts malveillants. Une fois que le logiciel malveillant initial provenant de GitHub a pris pied sur l'appareil, les fichiers supplémentaires déployés avaient une approche modulaire et en plusieurs étapes de la livraison, de l'exécution et de la persistance de la charge utile. Les fichiers ont été utilisés pour collecter des informations sur le système et pour mettre en place d'autres logiciels malveillants et scripts afin d'exfiltrer des documents et des données de l'hôte compromis. Cette activité est répertoriée sous le nom de Storm-0408 que nous utilisons pour suivre de nombreux acteurs associés à des logiciels malveillants d'accès à distance ou de vol d'informations et qui utilisent des campagnes de phishing, d'optimisation des moteurs de recherche (SEO) ou de malvertising pour distribuer des charges utiles malveillantes.
Activité GitHub et chaîne de redirection
GitHub a hébergé une charge utile de première étape qui a installé un code qui a déposé deux autres charges utiles. L'une d'entre elles recueillait des informations sur la configuration du système, telles que des données sur la taille de la mémoire, les capacités graphiques, la résolution de l'écran, le système d'exploitation présent et les chemins d'accès de l'utilisateur.
Les charges utiles de la troisième étape variaient, mais la plupart « menaient des activités malveillantes supplémentaires telles que la commande et le contrôle (C2) pour télécharger des fichiers supplémentaires et exfiltrer des données, ainsi que des techniques d'évasion de la défense ».
Les attaquants ont créé quatre à cinq couches de redirection dans le cadre de la campagne, chacune d'entre elles faisant suite au dropper GitHub pour installer d'autres nuisances qui, semble-t-il, ont été conçues pour voler des informations, y compris des identifiants de navigateur stockés.
Microsoft a noté que les dépôts malveillants ont depuis été supprimés, et a fourni de nombreux indicateurs de compromission et d'autres informations précieuses dans son rapport pour aider à la chasse et à l'arrêt des campagnes connexes.
Envoyé par Microsoft
Depuis au moins le début du mois de décembre 2024, de nombreux hôtes ont téléchargé des charges utiles de première étape à partir de dépôts GitHub malveillants. Les utilisateurs ont été redirigés vers GitHub par le biais d'une série d'autres redirections. L'analyse de la chaîne de redirections a permis de déterminer que l'attaque provenait probablement de sites de streaming illégaux où les utilisateurs peuvent regarder des vidéos piratées. Les sites de streaming ont intégré des redirecteurs de malvertising dans les images des films afin de générer des revenus à la carte ou au clic à partir de plateformes de malvertising. Ces redirecteurs acheminaient ensuite le trafic vers un ou deux autres redirecteurs malveillants, qui aboutissaient finalement à un autre site web, tel qu'un site de logiciels malveillants ou d'escroquerie à l'assistance technique, qui redirigeait ensuite vers GitHub.
Plusieurs phases de logiciels malveillants ont été déployées dans le cadre de cette campagne, comme indiqué ci-dessous, et les différentes phases d'activité qui se sont produites dépendaient de la charge utile déposée au cours de la deuxième phase.
La chaîne de redirection complète était composée de quatre à cinq couches. Les chercheurs de Microsoft ont déterminé que les redirecteurs de publicité malveillante étaient contenus dans une iframe sur des sites de streaming illégaux.
Plusieurs phases de logiciels malveillants ont été déployées dans le cadre de cette campagne, comme indiqué ci-dessous, et les différentes phases d'activité qui se sont produites dépendaient de la charge utile déposée au cours de la deuxième phase.
- La charge utile de la première étape, hébergée sur GitHub, a servi de dropper pour l'étape suivante des charges utiles.
- Les fichiers de la deuxième étape ont été utilisés pour découvrir le système et exfiltrer des informations système codées en Base64 dans l'URL et envoyées par HTTP à une adresse IP. Les informations collectées comprenaient des données sur la taille de la mémoire, les détails graphiques, la résolution de l'écran, le système d'exploitation (OS) et les chemins d'accès de l'utilisateur.
- Diverses charges utiles de troisième étape ont été déployées en fonction de la charge utile de deuxième étape. En général, la charge utile de troisième étape menait des activités malveillantes supplémentaires telles que la commande et le contrôle (C2) pour télécharger des fichiers supplémentaires et exfiltrer des données, ainsi que des techniques d'évasion de la défense.
La chaîne de redirection complète était composée de quatre à cinq couches. Les chercheurs de Microsoft ont déterminé que les redirecteurs de publicité malveillante étaient contenus dans une iframe sur des sites de streaming illégaux.
En 2024, les équipes recherche en sécurité et en science des données d'Apiiro ont détecté une résurgence d'une campagne de confusion de dépôts malveillants a une échelle importante : l'attaque a touché plus de 100 000 dépôts GitHub (et probablement des millions) lorsque des développeurs peu méfiants ont utilisé des dépôts qui ressemblaient à des d...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.