|
Getting your Trinity Audio player ready...
|
Por Redacción OnData
Resumen. Microsoft ha detectado una masiva campaña de publicidad maliciosa que ha infectado más de un millón de ordenadores a través de sitios de streaming ilegales. Los ciberdelincuentes emplean anuncios fraudulentos para redirigir a los usuarios a repositorios en GitHub, Discord y Dropbox, donde descargan malware diseñado para robar credenciales bancarias y datos sensibles. La compañía ha logrado desmantelar los repositorios utilizados en el ataque, pero advierte que la amenaza sigue activa y puede evolucionar con nuevas tácticas.
Microsoft ha informado que más de un millón de ordenadores han sido infectados debido a una campaña de publicidad maliciosa que busca robar información de los usuarios. Detectado a finales del año pasado, el ataque se origina en sitios de streaming ilegales que ofrecen contenido pirateado.
Los atacantes insertaron anuncios que redirigen a las víctimas a repositorios maliciosos en GitHub, Discord y Dropbox, donde descargan un malware que recopila información detallada del sistema, como datos del sistema operativo y detalles gráficos. Aunque GitHub fue la principal plataforma utilizada, también se observaron actividades en las otras dos plataformas. Una vez que el malware inicial se instala en el dispositivo, se distribuyen archivos adicionales en varias etapas para asegurar su ejecución y persistencia.
🚨 UPDATE: Microsoft has uncovered major upgrades in the latest XCSSET variant:
— The Hacker News (@TheHackersNews) March 12, 2025
⚠️ New persistence method – Uses dockutil to swap in a fake Launchpad app, ensuring the malware runs every time you open it.
⚠️ Stronger obfuscation – Harder to detect, harder to analyze.
⚠️ Still… pic.twitter.com/MgalU7gJR0
Los archivos de la segunda etapa del ataque se utilizaron para descubrir el sistema y extraer información codificada en Base64, que se enviaba a una dirección IP. Según Bleeping Computer, la información recopilada incluía datos sobre el tamaño de la memoria, detalles gráficos y el sistema operativo.
En la tercera etapa, se colocan archivos ejecutables en el dispositivo, como scripts de PowerShell, que pueden implementar malware de robo, como Lumma o Doenerium, capaces de obtener datos bancarios y credenciales de inicio de sesión.
Finalmente, si el archivo es ejecutable, crea y ejecuta un archivo CMD que lanza AutoIt3.exe, facilitando el robo de archivos confidenciales. Microsoft ha desmantelado los repositorios de GitHub involucrados en la campaña, conocida como Storm-0408, que ha afectado a diversas organizaciones, destacando su naturaleza indiscriminada, aunque no se atribuye a un sector específico.
