Detrás de escena de una película de piratas: manos invisibles roban tus contraseñas

Microsoft bloqueó varios repositorios en GitHub utilizados en una gran campaña de malvertising que afectó a casi un millón de dispositivos en todo el mundo. Los especialistas de la compañía detectaron actividad maliciosa en diciembre de 2024, cuando registraron la descarga de software malicioso desde la plataforma GitHub en numerosos dispositivos. Posteriormente, este malware se utilizó para desplegar componentes adicionales en los sistemas comprometidos.

El análisis mostró que los atacantes integraban redireccionadores publicitarios en contenido de video en sitios de streaming ilegales que alojaban películas piratas. Estos redireccionadores dirigían a las víctimas a repositorios maliciosos en GitHub controlados por los atacantes. Según explicó Microsoft, los sitios de streaming usaban malvertising no solo para distribuir malware, sino también para generar ingresos mediante el modelo de Pay-Per-View o Pay-Per-Click.

Una vez en GitHub, los usuarios descargaban el malware, que recopilaba datos del sistema, incluyendo la cantidad de memoria RAM, los parámetros gráficos, la resolución de pantalla, el sistema operativo y las rutas de usuario. Luego, la información se enviaba a los atacantes y se descargaban componentes maliciosos adicionales en los dispositivos.

En la siguiente etapa, un script de PowerShell descargaba el troyano de acceso remoto NetSupport desde un servidor de comando y control, además de realizar modificaciones en el registro de Windows para garantizar su persistencia. Una vez ejecutado, este troyano podía descargar más malware, incluidos los stealers Lumma y Doenerium, diseñados para robar datos de usuario y credenciales de navegadores.

Si en la segunda fase del ataque se descargaba un archivo ejecutable, este ejecutaba un script CMD y cargaba un intérprete de AutoIt renombrado con la extensión «.com», que luego ejecutaba un archivo binario malicioso. En algunos casos, también se utilizó una versión de AutoIt con la extensión «.scr». Un JavaScript malicioso ayudaba a garantizar su ejecución y persistencia en el sistema.

En la última etapa, los scripts de AutoIt usaban PowerShell o RegAsm para abrir archivos, habilitar la depuración remota del navegador y robar datos adicionales. En algunos casos, PowerShell también se utilizó para desactivar las defensas de Windows Defender y descargar nuevas instancias de NetSupport.

Aunque la descarga inicial del malware ocurrió a través de GitHub, los especialistas de Microsoft también detectaron el uso de Dropbox y Discord para distribuir la carga útil. Toda la campaña maliciosa se rastrea bajo el identificador Storm-0408, que incluye un grupo de ciberdelincuentes que propagan malware mediante phishing, manipulación de SEO y malvertising.

El ciberataque afectó a una amplia gama de organizaciones e industrias, incluyendo tanto dispositivos corporativos como de consumo, lo que evidencia la magnitud e indiscriminación de la campaña. Microsoft presentó un informe detallado con un análisis exhaustivo de todas las etapas del ataque y los componentes maliciosos utilizados.