Microsoft Avertit : Le Malvertising Infecte Plus de 1 Million de Dispositifs dans le Monde

Microsoft a récemment émis un avertissement urgent concernant une campagne de malvertising à grande échelle qui a affecté plus d’un million de dispositifs dans le monde.

La campagne, orchestrée par un groupe d’acteurs de menace identifié comme Storm-0408, a exploité le phishing, l’optimisation pour les moteurs de recherche (SEO) et des campagnes de malvertising pour distribuer des charges utiles malveillantes et voler des données sensibles des utilisateurs.

« L’attaque provenait de sites Web de streaming illégaux intégrés avec des redirections de malvertising, conduisant à un site intermédiaire où l’utilisateur était ensuite redirigé vers GitHub et deux autres plateformes », a écrit l’équipe de Microsoft Threat Intelligence dans un article de blog jeudi.

« La campagne a eu un impact sur un large éventail d’organisations et d’industries, y compris des dispositifs destinés aux consommateurs et aux entreprises, soulignant la nature indiscriminée de l’attaque. »

Comment L’Attaque Fonctionne

Le malvertising, ou publicité malveillante, est une méthode de cyberattaque dans laquelle des hackers injectent du code nuisible dans des publicités en ligne légitimes pour propager des logiciels malveillants.

Les chercheurs de Microsoft ont découvert début décembre 2024 que Storm-0408 ciblait principalement les utilisateurs en plaçant des publicités malveillantes dans des vidéos sur des sites de streaming piratés illégaux, où des visiteurs non méfiants cliquaient sur des publicités infectées.

Une fois que les utilisateurs cliquaient sur l’une de ces publicités trompeuses, ils étaient redirigés à travers plusieurs sites intermédiaires, les conduisant vers des dépôts hébergeant des logiciels malveillants sur des plateformes populaires telles que GitHub, Discord et Dropbox.

Ces dépôts comprenaient des charges utiles malveillantes qui infectaient les dispositifs des utilisateurs avec différents types de logiciels malveillants lors de leur exécution.

« Les sites de streaming intégraient des redirections de malvertising dans des images de films pour générer des revenus au clic ou à la vue à partir de plateformes de malvertising. Ces redirections acheminaient ensuite le trafic à travers un ou deux redirections malveillantes supplémentaires, conduisant finalement à un autre site Web, tel qu’un site de logiciels malveillants ou d’escroquerie de support technique, qui redirigeait ensuite vers GitHub », a ajouté Microsoft.

Types De Logiciels Malveillants Déployés

L’attaque était composée d’infections de logiciels malveillants avancés en plusieurs étapes. La charge utile initiale agissait comme un dropper, qui téléchargerait silencieusement les étapes ultérieures des charges utiles et exécuterait du code malveillant sur la machine de la victime. Parmi les logiciels malveillants les plus notables déployés figuraient :

• Lumma Stealer – Un logiciel malveillant de vol d’informations qui extrait les identifiants de connexion, les détails système et les données de navigateur.
• Doenerium (Version Mise à Jour) – Une version remaniée d’un infostealer notoire qui améliore encore la capacité des attaquants à collecter des informations sensibles.

Ces souches de logiciels malveillants étaient destinées à récolter des informations sensibles des utilisateurs, telles que des mots de passe, des informations personnelles et même des identifiants de connexion bancaires.

Après que les acteurs de menace aient obtenu les informations, celles-ci étaient communiquées aux serveurs de commande et de contrôle (C2) des attaquants, compromettant des utilisateurs individuels et des entreprises.

Tactiques D’Évasion Utilisées Par Les Hackers

Pour échapper à la détection, Storm-0408 a mis en œuvre des méthodes sophistiquées. Une de ces tactiques consistait à héberger des charges utiles malveillantes sur des plateformes cloud légitimes, permettant au logiciel malveillant de se fondre dans le trafic réseau normal et d’éviter de déclencher des alarmes de sécurité.

De plus, les acteurs de menace ont utilisé des binaires et des scripts de type living-off-the-land (LOLBAS), tirant parti de binaires et de scripts de type living-off-the-land (LOLBAS) comme PowerShell.exe, MSBuild.exe et RegAsm.exe pour le C2 et l’exfiltration de données des utilisateurs et des identifiants de navigateur sans éveiller de soupçons.

Réponse De Microsoft Et Mesures De Sécurité

En réponse à cette menace cybernétique massive, Microsoft a pris plusieurs mesures immédiates, telles que la suppression de dépôts malveillants hébergés sur GitHub, Discord et Dropbox ; la révocation de 12 certificats numériques compromis utilisés par les attaquants pour signer des logiciels malveillants qui semblaient légitimes ; et la publication de détails techniques et d’indicateurs de compromission (IoCs) pour aider les organisations et les individus à protéger leurs systèmes contre de telles menaces.

Comment Protéger Vos Dispositifs

Étant donné l’ampleur de cette attaque, les utilisateurs sont fortement conseillés de prendre des mesures proactives pour sécuriser leurs systèmes. Celles-ci incluent l’évitement des sites de streaming illégaux et des publicités en ligne inconnues, l’utilisation d’outils antivirus et de protection des points de terminaison réputés, la surveillance des connexions sortantes inhabituelles qui pourraient signaler une exfiltration de données, et l’activation de l’authentification multi-facteurs (MFA) pour protéger les comptes contre le vol d’identifiants.

Vous pouvez consulter le rapport complet de Microsoft pour une répartition détaillée des étapes de l’attaque et des charges utiles utilisées.