Microsoft Avverte: Malvertising Infetta Oltre 1M di Dispositivi Globalmente

Microsoft ha recentemente emesso un avviso urgente riguardo a una campagna di malvertising su larga scala che ha colpito più di un milione di dispositivi a livello globale.

La campagna, orchestrata da un gruppo di attori minacciosi identificato come Storm-0408, ha sfruttato phishing, ottimizzazione per i motori di ricerca (SEO) e campagne di malvertising per distribuire payload dannosi e rubare dati sensibili degli utenti.

“L’attacco è originato da siti web di streaming illegali incorporati con redirector di malvertising, portando a un sito intermedio dove l’utente veniva poi reindirizzato a GitHub e ad altre due piattaforme,” ha scritto il team di Microsoft Threat Intelligence in un post sul blog giovedì.

“La campagna ha impattato una vasta gamma di organizzazioni e settori, inclusi dispositivi consumer e aziendali, evidenziando la natura indiscriminata dell’attacco.”

Come Funziona L’Attacco

Il malvertising, o pubblicità malevola, è un metodo di attacco informatico in cui gli hacker iniettano codice dannoso in annunci online legittimi per diffondere malware.

I ricercatori di Microsoft hanno scoperto all’inizio di dicembre 2024 che Storm-0408 stava prendendo di mira gli utenti principalmente posizionando pubblicità malevole in video su siti di streaming piratati illegali, dove i visitatori ignari cliccavano su annunci infetti.

Una volta che gli utenti cliccavano su uno di questi annunci fuorvianti, venivano reindirizzati attraverso più siti intermedi, portandoli a repository di hosting di malware su piattaforme popolari come GitHub, Discord e Dropbox.

Questi repository includevano payload dannosi che infettavano i dispositivi degli utenti con vari tipi di malware al momento dell’esecuzione.

“I siti di streaming incorporavano redirector di malvertising all’interno delle scene dei film per generare entrate pay-per-view o pay-per-click dalle piattaforme di malvertising. Questi redirector successivamente instradavano il traffico attraverso uno o due redirector malevoli aggiuntivi, portando infine a un altro sito web, come un sito di malware o di truffa di supporto tecnico, che poi reindirizzava a GitHub,” ha aggiunto Microsoft.

Tipi Di Malware Distribuiti

L’attacco era composto da infezioni di malware avanzate a più fasi. Il payload iniziale agiva come un dropper, che scaricava silenziosamente le fasi successive dei payload ed eseguiva codice malevolo sulla macchina della vittima. Tra i malware più notevoli distribuiti c’erano:

• Lumma Stealer – Un malware di furto di informazioni che estrae credenziali di accesso, dettagli di sistema e dati del browser.
• Doenerium (Versione Aggiornata) – Una versione rinnovata di un infostealer infame che migliora ulteriormente la capacità degli attaccanti di raccogliere informazioni sensibili.

Questi ceppi di malware erano destinati a raccogliere informazioni sensibili degli utenti, come password, informazioni personali e persino credenziali di accesso bancarie.

Dopo che gli attori minacciosi ottenevano le informazioni, queste venivano comunicate ai server di comando e controllo (C2) degli attaccanti, compromettendo utenti e aziende individuali.

Tattiche Di Evasione Utilizzate Dagli Hacker

Per evadere la rilevazione, Storm-0408 ha implementato metodi sofisticati. Una di queste tattiche prevedeva l’hosting di payload malevoli su piattaforme cloud legittime, consentendo al malware di fondersi con il traffico di rete regolare ed evitare di attivare allarmi di sicurezza.

Inoltre, gli attori minacciosi utilizzavano binari e script living-off-the-land (LOLBAS), sfruttando binari e script living-off-the-land (LOLBAS) come PowerShell.exe, MSBuild.exe e RegAsm.exe per C2 e l’exfiltrazione dei dati degli utenti e delle credenziali del browser senza suscitare sospetti.

Risposta Di Microsoft E Misure Di Sicurezza

In risposta a questa massiccia minaccia informatica, Microsoft ha intrapreso diverse azioni immediate, come la rimozione di repository malevoli ospitati su GitHub, Discord e Dropbox; la revoca di 12 certificati digitali compromessi utilizzati dagli attaccanti per firmare malware che lo faceva apparire legittimo; e la pubblicazione di dettagli tecnici e indicatori di compromissione (IoCs) per aiutare organizzazioni e individui a proteggere i propri sistemi contro tali minacce.

Come Proteggere I Tuoi Dispositivi

Data la portata di questo attacco, si consiglia vivamente agli utenti di adottare misure proattive per garantire la sicurezza dei propri sistemi. Queste includono evitare siti di streaming illegali e annunci online sconosciuti, utilizzare strumenti antivirus e di protezione degli endpoint affidabili, monitorare connessioni in uscita insolite che potrebbero segnalare un’exfiltrazione di dati e abilitare l’autenticazione a più fattori (MFA) per proteggere gli account dal furto di credenziali.

Puoi fare riferimento al rapporto completo di Microsoft per una suddivisione dettagliata delle fasi dell’attacco e dei payload utilizzati.