Une récente enquête menée par Microsoft Threat Intelligence a mis en lumière une vaste campagne de malvertising (publicités malveillantes) ayant infecté près d'un million d'appareils en exploitant des annonces piégées sur des sites de streaming illégaux. Cette attaque, débutée en décembre 2024, redirigeait les visiteurs de ces sites vers des pages frauduleuses, les conduisant ensuite vers des plateformes telles que GitHub, Dropbox et Discord, où le logiciel malveillant était hébergé.Les sites identifiés comme principaux vecteurs de cette propagation sont movies7[.]net et 0123movie[.]art. Le mécanisme de l'attaque reposait sur des publicités intégrées dans les vidéos de ces sites, générant des redirections successives vers des pages d'arnaques au support technique. Les victimes étaient ensuite incitées à télécharger des logiciels prétendument utiles, mais contenant en réalité des programmes malveillants.
Cette campagne souligne les risques associés à l'utilisation de sites de streaming illégaux, souvent financés par des publicités non contrôlées pouvant servir de vecteurs pour des logiciels malveillants. Les cybercriminels exploitent ces plateformes pour diffuser leurs attaques à grande échelle, profitant de l'attrait des utilisateurs pour du contenu gratuit ou piraté.
Envoyé par Microsoft
Début décembre 2024, Microsoft Threat Intelligence a détecté une campagne de malvertising à grande échelle qui a touché près d'un million d'appareils dans le monde entier dans le cadre d'une attaque opportuniste visant à voler des informations. L'attaque provenait de sites de streaming illégaux intégrant des redirecteurs de publicité malveillante, menant à un site web intermédiaire où l'utilisateur était ensuite redirigé vers GitHub et deux autres plateformes. La campagne a touché un large éventail d'organisations et d'industries, y compris des appareils grand public et d'entreprise, mettant en évidence la nature indiscriminée de l'attaque.
GitHub a été la principale plateforme utilisée pour la livraison des charges utiles d'accès initial et est référencée tout au long de ce billet de blog ; cependant, Microsoft Threat Intelligence a également observé une charge utile hébergée sur Discord et une autre hébergée sur Dropbox.
Les dépôts GitHub, qui ont été supprimés, stockaient des logiciels malveillants utilisés pour déployer d'autres fichiers et scripts malveillants. Une fois que le logiciel malveillant initial provenant de GitHub a pris pied sur l'appareil, les fichiers supplémentaires déployés avaient une approche modulaire et en plusieurs étapes de la livraison, de l'exécution et de la persistance de la charge utile. Les fichiers ont été utilisés pour collecter des informations sur le système et pour mettre en place d'autres logiciels malveillants et scripts afin d'exfiltrer des documents et des données de l'hôte compromis. Cette activité est répertoriée sous le nom de Storm-0408 que nous utilisons pour suivre de nombreux acteurs associés à des logiciels malveillants d'accès à distance ou de vol d'informations et qui utilisent des campagnes de phishing, d'optimisation des moteurs de recherche (SEO) ou de malvertising pour distribuer des charges utiles malveillantes.
GitHub a été la principale plateforme utilisée pour la livraison des charges utiles d'accès initial et est référencée tout au long de ce billet de blog ; cependant, Microsoft Threat Intelligence a également observé une charge utile hébergée sur Discord et une autre hébergée sur Dropbox.
Les dépôts GitHub, qui ont été supprimés, stockaient des logiciels malveillants utilisés pour déployer d'autres fichiers et scripts malveillants. Une fois que le logiciel malveillant initial provenant de GitHub a pris pied sur l'appareil, les fichiers supplémentaires déployés avaient une approche modulaire et en plusieurs étapes de la livraison, de l'exécution et de la persistance de la charge utile. Les fichiers ont été utilisés pour collecter des informations sur le système et pour mettre en place d'autres logiciels malveillants et scripts afin d'exfiltrer des documents et des données de l'hôte compromis. Cette activité est répertoriée sous le nom de Storm-0408 que nous utilisons pour suivre de nombreux acteurs associés à des logiciels malveillants d'accès à distance ou de vol d'informations et qui utilisent des campagnes de phishing, d'optimisation des moteurs de recherche (SEO) ou de malvertising pour distribuer des charges utiles malveillantes.
Activité GitHub et chaîne de redirection
GitHub a hébergé une charge utile de première étape qui a installé un code qui a déposé deux autres charges utiles. L'une d'entre elles recueillait des informations sur la configuration du système, telles que des données sur la taille de la mémoire, les capacités graphiques, la résolution de l'écran, le système d'exploitation présent et les chemins d'accès de l'utilisateur.
Les charges utiles de la troisième étape variaient, mais la plupart « menaient des activités malveillantes supplémentaires telles que la commande et le contrôle (C2) pour télécharger des fichiers supplémentaires et exfiltrer des données, ainsi que des techniques d'évasion de la défense ».
Les attaquants ont créé quatre à cinq couches de redirection dans le cadre de la campagne, chacune d'entre elles faisant suite au dropper GitHub pour installer d'autres nuisances qui, semble-t-il, ont été conçues pour voler des...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.