Si va a visitar un sitio web que aloja transmisiones de vídeo pirateadas, será mejor que esté preparado para aceptar los riesgos. Es posible que los propietarios del millón de dispositivos afectados por el malware procedente de estos sitios no lo hayan considerado. Microsoft escribió que su equipo de análisis de amenazas detectó una campaña publicitaria maliciosa a gran escala en diciembre de 2024, que afectó a casi un millón de dispositivos en todo el mundo.
La compañía rastreó dos sitios de transmisión ilegal (movies7 y 0123movie) hasta redirectores de publicidad maliciosa integrados. Los atacantes inyectaron anuncios en vídeos alojados en el sitio web. Estos anuncios generan ingresos por pago por visión o pago por clic desde la plataforma de publicidad maliciosa y posteriormente dirigen el tráfico a través de uno o dos redireccionadores maliciosos adicionales.
Finalmente, las víctimas son dirigidas a otro sitio web, como un sitio fraudulento de soporte técnico, y luego redirigidas a GitHub.
Ahora se ha eliminado el repositorio de GitHub, que albergaba el malware utilizado para implementar más archivos y scripts maliciosos. Una vez que alguien descarga el malware, se utiliza para recopilar información del sistema e implementar cargas útiles de segunda etapa para robar documentos y datos.
La carga útil del script PowerShell de la tercera etapa descarga el troyano de acceso remoto (RAT) de NetSupport desde el servidor de comando y control y establece la persistencia en el registro. Las RAT pueden entregar malware de robo de información de Lumma o versiones actualizadas del software de robo de información Doenerium.
El malware también permite a los atacantes monitorear las actividades de navegación de la víctima e incluso interactuar con navegadores activos, incluidos Firefox, Chrome y Edge.
La carga útil de la primera etapa está firmada digitalmente mediante un certificado recién creado y contiene algunos archivos legítimos para ocultar su verdadera naturaleza. Se identificaron un total de 12 certificados diferentes, todos los cuales fueron posteriormente revocados.
Si bien GitHub es la plataforma principal para entregar estas cargas útiles, Microsoft también descubrió que una carga útil estaba alojada en Discord y otra en Dropbox. Al igual que con GitHub, se han eliminado las páginas web que alojan malware en estas plataformas.
Microsoft escribió que la campaña fue indiscriminada y afectó tanto a los dispositivos de los consumidores como a los de las empresas. Microsoft también señaló que el software Microsoft Defender para Windows es capaz de detectar y marcar el malware utilizado en los ataques.