Anúncios Maliciosos em Sites de Streaming Ilegal Infectaram 1 Milhão de PCs, Adverte a Microsoft

A Microsoft fechou vários repositórios GitHub que estavam sendo utilizados em uma campanha de malvertising em larga escala, afetando quase um milhão de dispositivos em todo o mundo.

A empresa descobriu o ataque em dezembro de 2024, quando sua equipe de inteligência de ameaças percebeu que malwares estavam sendo baixados do GitHub para os dispositivos dos usuários.

De acordo com uma análise da Microsoft, cibercriminosos inseriram anúncios maliciosos dentro de vídeos em sites de streaming ilegais. Esses anúncios redirecionaram usuários desavisados para o GitHub, onde um malware foi secretamente baixado em seus sistemas.

Uma vez instalado, o malware liberou programas adicionais prejudiciais, projetados para roubar informações pessoais, comprometer a segurança e permitir que os invasores mantenham controle sobre os dispositivos infectados.

A análise da Microsoft revelou que a campanha era altamente organizada, usando múltiplas etapas para espalhar malware. O primeiro passo envolveu atrair usuários para o GitHub, Discord ou Dropbox, onde o malware estava hospedado.

Uma vez baixado, o malware coletou dados sobre o sistema infectado, incluindo o tamanho da memória, detalhes do sistema operacional e informações do usuário. Os invasores então usaram esses dados para implantar programas ainda mais prejudiciais, incluindo malwares que roubam informações, como Lumma Stealer e Doenerium.

Em alguns casos, uma ferramenta de monitoramento remoto chamada NetSupport também foi instalada, permitindo aos invasores controlar os dispositivos infectados remotamente. A campanha, rastreada pela Microsoft sob o nome Storm-0408, foi projetada para ser difícil de detectar. Os invasores usaram ferramentas legítimas como PowerShell e JavaScript para se misturarem às operações normais do sistema.

Eles também implementaram técnicas de persistência, como modificar as configurações do registro e adicionar atalhos de inicialização, para garantir que o malware permanecesse nos dispositivos infectados mesmo após um reinício.

A Microsoft trabalhou com a equipe de segurança do GitHub para remover os repositórios maliciosos, evitando mais infecções. No entanto, a empresa alertou que ataques semelhantes podem acontecer no futuro. Ela instou os usuários a terem cautela ao visitar sites de streaming ilegais e a manterem seus softwares e proteções de segurança atualizados.

A postagem do blog também forneceu detalhes técnicos para profissionais de cibersegurança, incluindo maneiras de detectar sinais de infecção e prevenir ameaças semelhantes.

A Microsoft enfatizou a necessidade das organizações se manterem vigilantes contra ameaças cibernéticas em constante evolução, especialmente aquelas que se aproveitam de plataformas confiáveis como o GitHub para disseminar malware.