Microsoft ha revelado que más de un millón de ordenadores han sido infectados a través de una campaña de publicidad maliciosa destinada a robar información de los usuarios. Este ataque fue detectado por la compañía a finales del pasado año y la campaña comienza en sitios de streaming ilegales donde se puede ver contenido pirateado.
En dichos lugares, según informan desde Bleeping Computer, los atacantes insertaron anuncios que redirigen a las víctimas a repositorios maliciosos de GitHub y otras dos plataformas bajo su control. En estos repositorios descargarían la primera carga útil para recopilar información detallada del sistema (datos del sistema operativo, tamaño de la memoria, detalles gráficos, entre otros).
Proceso del 'malware'
A pesar de que de GitHub fue la principal plataforma para la entrega de las cargas útiles y accesorios iniciales, desde Microsoft también observaron otra en Discord y en Dropbox. Desde la compañía explican que una vez que el malware inicial de GitHub se afianza en el dispositivo, los archivos adicionales distribuidos tenían varias etapas para la entrega, ejecución y persistencia de la carga útil.
Los archivos de la segunda etapa se utilizaron para realizar el descubrimiento del sistema y extraer información que estaba codificada en Base64 en la URL y enviada por HTTP a una dirección IP. En Bleeping Computer aseguran que la información recopilada incluía datos sobre el tamaño de la memoria, detalles gráficos, resolución de pantalla, sistema operativo (OS) y rutas de usuario.
Después, en la tercera etapa y, según la carga útil de la etapa anterior, se colocan uno o varios archivos ejecutables en el dispositivo afectado. Un ejemplo podría ser un script de PowerShell codificado que lo acompaña y que puede implementar un malware de robo como Lumma o Doenerium. Estos son capaces de obtener datos bancarios, las credenciales de inicio de sesión de las personas, además de información de criptomonedas.
En la última etapa del ataque, si el archivo es ejecutable, crea y ejecuta un archivo CMD que produce uno de intérprete AutoIT v3 cuyo nombre es AutoIt3.exe y utiliza una extensión de archivo .com. Luego, AutoIt ejecuta algunos pasos adicionales que finalmente conducen al mismo resultado: el robo de archivos confidenciales del sistema de destino.
Amplia gama de organizaciones e industrias afectadas
Microsoft confirma que los repositorios de GitHub fueron desmantelados y que esta actividad se rastrea bajo el nombre general Storm-0408. Lo utilizan para rastrear numerosos actores de amenazas asociados con el acceso remoto o malware que roba información y que usan campañas de phishing, optimización de motores de búsqueda (SEO) o publicidad maliciosa para distribuir cargas útiles maliciosas.
Añaden que la campaña afectó a una amplia gama de organizaciones e industrias, incluidos dispositivos tanto de consumo como empresariales, lo que pone de relieve la naturaleza indiscriminada del ataque. Además de que, a pesar de que el malware también estaba alojado en Dropbox y Discord, no atribuyen la campaña a ningún sector de amenazas en particular.
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
