Microsoft Alerta: Malvertising Infecta Mais de 1M de Dispositivos Globalmente

A Microsoft emitiu recentemente um aviso urgente sobre uma campanha de malvertising em larga escala que afetou mais de um milhão de dispositivos globalmente.

A campanha, orquestrada por um grupo de atores de ameaças identificado como Storm-0408, aproveitou phishing, otimização de mecanismos de busca (SEO) e campanhas de malvertising para distribuir cargas maliciosas e roubar dados sensíveis dos usuários.

“O ataque se originou de sites de streaming ilegais embutidos com redirecionadores de malvertising, levando a um site intermediário onde o usuário foi então redirecionado para o GitHub e duas outras plataformas”, escreveu a equipe de Inteligência de Ameaças da Microsoft em um post de blog na quinta-feira.

“A campanha impactou uma ampla gama de organizações e indústrias, incluindo dispositivos de consumidores e empresas, destacando a natureza indiscriminada do ataque.”

Como O Ataque Funciona

Malvertising, ou publicidade maliciosa, é um método de ciberataque no qual hackers injetam código prejudicial em anúncios online legítimos para espalhar malware.

Pesquisadores da Microsoft descobriram no início de dezembro de 2024 que o Storm-0408 estava direcionando usuários principalmente ao colocar anúncios maliciosos em vídeos em sites de streaming piratas ilegais, onde visitantes desavisados clicavam em anúncios infectados.

Uma vez que os usuários clicavam em qualquer um desses anúncios enganosos, eram redirecionados através de múltiplos sites intermediários, levando-os a repositórios de hospedagem de malware em plataformas populares como GitHub, Discord e Dropbox.

Esses repositórios incluíam cargas maliciosas que infectavam os dispositivos dos usuários com diferentes tipos de malware ao serem executadas.

“Os sites de streaming embutiam redirecionadores de malvertising dentro de quadros de filmes para gerar receita por visualização ou por clique a partir de plataformas de malvertising. Esses redirecionadores, subsequentemente, direcionavam o tráfego através de um ou dois redirecionadores maliciosos adicionais, levando, em última análise, a outro site, como um site de malware ou de golpe de suporte técnico, que então redirecionava para o GitHub”, acrescentou a Microsoft.

Tipos De Malware Implantados

O ataque foi composto por infecções de malware avançadas em múltiplas etapas. A carga inicial atuava como um dropper, que baixaria silenciosamente estágios posteriores de cargas e executaria código malicioso na máquina da vítima. Entre os malwares mais notáveis implantados estavam:

• Lumma Stealer – Um malware de roubo de informações que extrai credenciais de login, detalhes do sistema e dados do navegador.
• Doenerium (Versão Atualizada) – Uma versão reformulada de um infostealer infame que aprimora ainda mais a capacidade dos atacantes de coletar informações sensíveis.

Essas cepas de malware foram projetadas para coletar informações sensíveis dos usuários, como senhas, informações pessoais e até credenciais de login bancário.

Após os atores de ameaças obterem as informações, elas eram comunicadas aos servidores de comando e controle (C2) dos atacantes, comprometendo usuários individuais e empresas.

Táticas De Evasão Usadas Por Hackers

Para evitar a detecção, o Storm-0408 implementou métodos sofisticados. Uma dessas táticas envolveu hospedar cargas maliciosas em plataformas de nuvem legítimas, permitindo que o malware se mesclasse ao tráfego de rede regular e evitasse disparar alarmes de segurança.

Além disso, os atores de ameaças usaram binários e scripts de living-off-the-land (LOLBAS), aproveitando binários e scripts de living-off-the-land (LOLBAS) como PowerShell.exe, MSBuild.exe e RegAsm.exe para C2 e exfiltração de dados de usuários e credenciais de navegador sem levantar suspeitas.

Resposta Da Microsoft E Medidas De Segurança

Em resposta a essa enorme ameaça cibernética, a Microsoft tomou várias ações imediatas, como remover repositórios maliciosos hospedados no GitHub, Discord e Dropbox; revogar 12 certificados digitais comprometidos usados pelos atacantes para assinar malware que parecia legítimo; e liberar detalhes técnicos e indicadores de comprometimento (IoCs) para ajudar organizações e indivíduos a proteger seus sistemas contra tais ameaças.

Como Proteger Seus Dispositivos

Dada a escala deste ataque, os usuários são fortemente aconselhados a tomar medidas proativas para proteger seus sistemas. Isso inclui evitar sites de streaming ilegais e anúncios online desconhecidos, usar ferramentas de antivírus e proteção de endpoint respeitáveis, monitorar conexões de saída incomuns que podem sinalizar exfiltração de dados e habilitar a Autenticação Multifator (MFA) para proteger contas contra roubo de credenciais.

Você pode consultar o relatório completo da Microsoft para uma análise detalhada das etapas do ataque e das cargas usadas.