Microsoft ha divulgato i dettagli di una campagna di malverting su larga scala che si stima abbia avuto un impatto su un milione di dispositivi a livello globale come parte di quello che ha detto è un attacco opportunistico progettato per rubare informazioni sensibili.
Il gigante della tecnologia, che ha rilevato l’attività all’inizio di dicembre 2024, la sta monitorando sotto il più ampio ombrello Storm-0408, un moniker utilizzato per una serie di attori di minaccia che sono noti per distribuire l’accesso remoto o il malware di furto di informazioni tramite phishing, ottimizzazione dei motori di ricerca (search engine marketing) o malvertiti.
“L’attacco ha avuto origine da siti Internet di streaming illegali incorporati con reindittori malvertiti, portando a un sito Internet intermedio in cui l’utente è stato quindi reindirizzato a GitHub e altre due piattaforme”, il Microsoft Risk Intelligence Workforce disse.
“La campagna ha influito su una vasta gamma di organizzazioni e industrie, tra cui dispositivi sia al consumo che all’impresa, evidenziando la natura indiscriminata dell’attacco”.
L’aspetto più significativo della campagna è l’uso di GitHub come piattaforma per la fornitura di payload di accesso iniziale. In almeno altre due istanze isolate, i payload sono stati trovati ospitati su discord e dropbox. Da allora i repository di GitHub sono stati rimossi. La società non ha rivelato quanti di questi repository sono stati rimossi.
Il servizio di internet hosting di codice di proprietà di Microsoft funge da terreno di gestione temporanea per malware di contagocce che è responsabile della distribuzione di una serie di programmi aggiuntivi come Lumma Stealer e Doenerium, che, a loro volta, sono in grado di raccogliere informazioni sul sistema.
L’attacco impiega anche una catena di reindirizzamento sofisticata comprendente da quattro a cinque strati, con il reindirizzatore iniziale incorporato all’interno di un elemento IFRAME su siti Internet di streaming illegale che servono contenuti piratati.
La sequenza di infezione complessiva è un processo a più stadi che prevede la scoperta di sistemi, la raccolta delle informazioni e l’uso di payload di follow-on come gli script di RAT e AutoIT di NETSupport per facilitare più furto di dati. Il Trojan di accesso remoto funge anche da condotto per malware per il furto.
- Primo stadio: stabilisci un punto d’appoggio sui dispositivi goal
- Secondo stadio – Recognizione del sistema, raccolta ed esfiltrazione e consegna del payload
- Terzo stadio-Esecuzione del comando, consegna del payload, evasione difensiva, persistenza, comunicazioni di comando e controllo e esfiltrazione di dati
- Quarto stadio – Script PowerShell per configurare le esclusioni di Microsoft Defender ed eseguire comandi per scaricare i dati da un server remoto
Un’altra caratteristica degli attacchi riguarda l’uso di vari script di PowerShell per scaricare il ratto Netsupport, identificare applicazioni installate e software program di sicurezza, scansionando in particolare la presenza di portafogli di criptovaluta, indicando potenziali furti di dati finanziari.
“Oltre alle informazioni sui furti, sugli script di PowerShell, JavaScript, VBScript e Autoit sono stati eseguiti sull’host”, ha detto Microsoft. “Gli attori delle minacce hanno incorporato l’uso dei binari e degli script di Residing-Off-the-Land (LOLBAS) come PowerShell.exe, MSBuild.exe e Regasm.exe per C2 e l’esfiltrazione di dati dei dati degli utenti e delle credenziali del browser.”
La divulgazione arriva quando Kaspersky ha rivelato che i siti Internet fasulli mascherati da chatbot di DeepSeek e Grok Synthetic Intelligence (AI) vengono utilizzati per indurre gli utenti a installare un furto di informazioni Python precedentemente non documentato.
I siti di esca a tema Deekseek pubblicizzati da account verificati su X (advert es. @ColeadDisontech, @gaurdevang2 e @saduq5) sono stati impiegati per eseguire uno script PowerShell che utilizza SSH per concedere agli attaccanti l’accesso remoto al laptop.
“I criminali informatici usano vari schemi per attirare le vittime di risorse dannose”, la società di sicurezza informatica russa disse. “In genere, i collegamenti a tali siti sono distribuiti tramite messaggeri e social community. Gli aggressori possono anche utilizzare tipografi o acquistare traffico pubblicitario in siti dannosi attraverso numerosi programmi di affiliazione.”
