Microsoft ha scoperto una campagna di malvertising su diversi siti di streaming illegale che portano le ignare vittime su GitHub e altre due piattaforme dove sono ospitati malware di vario tipo. Successivamente vengono scaricati infostealer che raccolgono numerosi dati sensibili.
Streaming illegale e malware
Microsoft ha ricostruito la catena di infezione, scoprendo che l’attacco inizia su alcuni siti di streaming illegale. All’interno dei video sono presenti inserzioni pubblicitarie che, dopo una serie di redirecting, portano a repository su GitHub (rimossi dall’azienda di Redmond).
L’attacco prevede quindi quattro stadi. Durante il primo viene copiato sul computer un dropper (nascosto in archivi 7z, eseguibili o DLL). Successivamente vengono raccolte informazioni hardware e software, in base alle quali è scelto il payload per il terzo stadio. Può essere un NetSupport RAT (remote access trojan) che crea la persistenza e scarica Lumma Stealer o Doenerium.
In alternativa viene creato un file CMD e copiato un interpreter AutoIT. Durante l’ultimo stadio dell’infezione, AutoIT usa RegAsm o PowerShell per aprire file, attivare la modalità di debugging dei browser e rubare dati. Lo script PowerShell permette anche di aggiunge all’elenco delle esclusioni di Defender le directory usate durante l’infezione.
La principale piattaforma che ospitava il payload iniziale è GitHub, ma alcuni erano ospitati anche su Dropbox e Discord. Microsoft scrive che questo tipo di attività è attribuibile ad un gruppo di cybercriminali noto come Storm-0408, esperto in malvertising, phishing e tecniche SEO. L’azienda di Redmond ha pubblicato tutte le informazioni utili per rilevare e bloccare la minaccia.
Ti potrebbe interessare
10 mar 2025