Microsoft Advierte: Malvertising Infecta Más de 1M de Dispositivos Globalmente

Microsoft recientemente emitió una advertencia urgente sobre una campaña de malvertising a gran escala que ha afectado a más de un millón de dispositivos a nivel global.

La campaña, orquestada por un grupo de actores de amenazas identificado como Storm-0408, ha aprovechado el phishing, la optimización de motores de búsqueda (SEO) y campañas de malvertising para distribuir cargas útiles maliciosas y robar datos sensibles de los usuarios.

“El ataque se originó en sitios web de streaming ilegales incrustados con redireccionadores de malvertising, llevando a un sitio web intermedio donde el usuario fue redirigido a GitHub y a otras dos plataformas”, escribió el equipo de Inteligencia de Amenazas de Microsoft en una publicación de blog el jueves.

“La campaña impactó a una amplia gama de organizaciones e industrias, incluyendo dispositivos tanto de consumidores como empresariales, destacando la naturaleza indiscriminada del ataque.”

Cómo Funciona El Ataque

El malvertising, o publicidad maliciosa, es un método de ciberataque en el que los hackers inyectan código dañino en anuncios en línea legítimos para propagar malware.

Los investigadores de Microsoft descubrieron a principios de diciembre de 2024 que Storm-0408 estaba atacando a los usuarios principalmente al colocar anuncios maliciosos en videos de sitios web de streaming piratas ilegales, donde visitantes desprevenidos hacían clic en anuncios infectados.

Una vez que los usuarios hacían clic en cualquiera de estos anuncios engañosos, eran redirigidos a través de múltiples sitios intermedios, llevándolos a repositorios que alojaban malware en plataformas populares como GitHub, Discord y Dropbox.

Estos repositorios incluían cargas útiles maliciosas que infectaban los dispositivos de los usuarios con diferentes tipos de malware al ser ejecutadas.

“Los sitios web de streaming incrustaron redireccionadores de malvertising dentro de los fotogramas de las películas para generar ingresos por pago por vista o pago por clic de las plataformas de malvertising. Estos redireccionadores posteriormente enrutarían el tráfico a través de uno o dos redireccionadores maliciosos adicionales, llevando finalmente a otro sitio web, como un sitio de malware o un sitio de estafa de soporte técnico, que luego redirigía a GitHub”, añadió Microsoft.

Tipos De Malware Desplegados

El ataque se compuso de infecciones de malware avanzadas de múltiples etapas. La carga útil inicial actuó como un dropper, que descargaría silenciosamente etapas posteriores de cargas útiles y ejecutaría código malicioso en la máquina de la víctima. Entre los malware más notables desplegados estaban:

• Lumma Stealer – Un malware que roba información que extrae credenciales de inicio de sesión, detalles del sistema y datos del navegador.
• Doenerium (Versión Actualizada) – Una versión renovada de un infostealer infame que mejora aún más la capacidad de los atacantes para recopilar información sensible.

Estas cepas de malware estaban destinadas a cosechar información sensible del usuario, como contraseñas, información personal e incluso credenciales de inicio de sesión bancarias.

Después de que los actores de amenazas obtuvieron la información, esta fue comunicada a los servidores de comando y control (C2) de los atacantes, comprometiendo a usuarios individuales y empresas.

Tácticas De Evasión Utilizadas Por Los Hackers

Para evadir la detección, Storm-0408 implementó métodos sofisticados. Una de estas tácticas involucró alojar cargas útiles maliciosas en plataformas de nube legítimas, permitiendo que el malware se fusionara con el tráfico de red regular y evitara activar alarmas de seguridad.

Además, los actores de amenazas utilizaron binarios y scripts de vivir de la tierra (LOLBAS), aprovechando binarios y scripts de vivir de la tierra (LOLBAS) como PowerShell.exe, MSBuild.exe y RegAsm.exe para C2 y exfiltración de datos de usuarios y credenciales del navegador sin levantar sospechas.

Respuesta De Microsoft Y Medidas De Seguridad

En respuesta a esta masiva amenaza cibernética, Microsoft ha tomado varias acciones inmediatas, como eliminar repositorios maliciosos alojados en GitHub, Discord y Dropbox; revocar 12 certificados digitales comprometidos utilizados por los atacantes para firmar malware que parecía legítimo; y publicar detalles técnicos e indicadores de compromiso (IoCs) para ayudar a organizaciones e individuos a proteger sus sistemas contra tales amenazas.

Cómo Proteger Sus Dispositivos

Dada la magnitud de este ataque, se aconseja encarecidamente a los usuarios que tomen medidas proactivas para asegurar sus sistemas. Estas incluyen evitar sitios de streaming ilegales y anuncios en línea desconocidos, utilizar herramientas de antivirus y protección de endpoints de buena reputación, monitorear conexiones salientes inusuales que puedan señalar exfiltración de datos, y habilitar la Autenticación Multifactor (MFA) para proteger cuentas contra el robo de credenciales.

Puede consultar el informe completo de Microsoft para un desglose detallado de las etapas del ataque y las cargas útiles utilizadas.