Microsoft Threat Intelligence révèle avoir identifié une vaste campagne de malvertising qui a touché près d'un million d'appareils dans le monde. Elle a reposé sur l'injection de publicités malveillantes dans des vidéos sur des sites de streaming illégal.
Les victimes ont été redirigées vers des dépôts GitHub sous le contrôle des attaquants, afin de les infecter avec des malwares de type infostealer. La plateforme GitHub a ainsi servi à l'hébergement de charges utiles de premier niveau.
Dans une moindre mesure, d'autres plateformes comme Discord et Dropbox ont également été exploitées sous l'égide de l'activité malveillante qui est suivie par Microsoft sous le nom générique de Storm-0408. Il n'y a pas d'attribution spécifique.
Quatre niveaux de charges utiles
Un billet de blog entre dans les détails techniques. Il souligne des charges utiles malveillantes de deuxième, troisième et quatrième niveau.
Dans la dernière étape, l'outil Regasm.exe (Assembly Registration Tool) ou PowerShell ont pu être utilisés pour ouvrir des fichiers, activer le débogage du navigateur à distance et exfiltrer davantage de données. Microsoft note en outre que dans certains cas, PowerShell a aussi servi à configurer des exclusions pour Microsoft Defender.
L'attaque a été détectée pour la première fois début décembre 2024. L'alerte a été donnée par le fait que plusieurs appareils avaient téléchargé des nuisibles à partir des dépôts GitHub.
Des indices sur les sites pirates
Les indicateurs de compromission sont communiqués par Microsoft. Ils permettent notamment d'apprendre que les infections ont eu pour origine les domaines de streaming video movies7[.]net et 0123movie[.]art avec un iframe malveillant.
Pour passer sous les radars, l'attaque a eu recours à des certificats logiciels signés et en diffusant des fichiers légitimes.
« Mi-janvier 2025, les charges utiles de premier niveau découvertes étaient signées à l'aide d'un certificat nouvellement créé », écrit Microsoft en soulignant avoir révoqué un total de douze certificats différents.