A Microsoft desativou repositórios do GitHub usados em uma grande campanha de malvertising que afetou aproximadamente 1 milhão de dispositivos globalmente. A ação faz parte de uma iniciativa da empresa para mitigar ameaças cibernéticas emergentes e proteger usuários contra ataques sofisticados de malware.
Microsoft age contra campanha de malvertising que impactou milhões de dispositivos
Como funcionava o ataque
A campanha foi descoberta pelos analistas de segurança da Microsoft em dezembro de 2024, quando notaram dispositivos acessando arquivos maliciosos hospedados no GitHub. Investigações revelaram que os criminosos utilizavam técnicas de malvertising para atrair vítimas por meio de sites de streaming piratas.
Os ataques funcionavam da seguinte forma:
- Injeção de redirecionadores em sites piratas: Anúncios fraudulentos eram incorporados a vídeos em sites ilegais de streaming.
- Encaminhamento para repositórios maliciosos: As vítimas eram redirecionadas através de múltiplas páginas até alcançarem repositórios no GitHub controlados pelos invasores.
- Distribuição de malware: Uma vez acessados, esses repositórios instalavam malware capaz de coletar informações detalhadas do sistema, como tamanho da memória, especificações gráficas e versão do sistema operacional.
Malware sofisticado e impacto
O malware implantado nesta campanha apresentava múltiplos estágios de infecção:
Notícias Relacionadas
Desenvolvedor do LockBit
Suposto desenvolvedor do LockBit é extraditado para os EUA por crimes cibernéticos
Rostislav Panev, suposto desenvolvedor do ransomware LockBit, foi extraditado para os EUA após sua prisão em Israel. Ele é acusado de projetar malware e facilitar ataques cibernéticos, enquanto as autoridades reforçam o combate a crimes digitais.
Cibersegurança Avançada
Novo ransomware SuperBlack explora vulnerabilidades da Fortinet para ataques sofisticados
O ransomware SuperBlack, operado pelo grupo Mora_001, está explorando vulnerabilidades da Fortinet para comprometer firewalls e realizar ataques sofisticados. A análise aponta ligação com o LockBit e destaca um processo estruturado de invasão e criptografia.
- Coleta de informações: O código malicioso extraía dados do sistema infectado e os enviava para servidores controlados pelos atacantes.
- Instalação de trojans e infostealers: Um dos códigos maliciosos utilizava scripts PowerShell para instalar o trojan de acesso remoto NetSupport RAT. Além disso, os infostealers Lumma e Doenerium eram utilizados para roubar credenciais armazenadas no navegador.
- Persistência e evasão de segurança: Algumas variantes do ataque manipulavam configurações do Windows Defender para impedir a detecção dos malwares.
Os ataques foram direcionados a um amplo espectro de vítimas, afetando tanto usuários comuns quanto organizações empresariais. O Microsoft Threat Intelligence também identificou que, além do GitHub, os invasores utilizavam outras plataformas como Dropbox e Discord para hospedar os arquivos maliciosos.
Identificação e mitigação da ameaça
A Microsoft rastreou essa atividade sob o código Storm-0408, um grupo conhecido por campanhas que utilizam phishing, otimização de mecanismos de busca (SEO) e malvertising para distribuir malware. A remoção dos repositórios no GitHub representa um passo importante na interrução dessa campanha.
O relatório da Microsoft detalha cada fase dos ataques e destaca as cargas maliciosas usadas na cadeia de infecção. Para evitar comprometer dispositivos, especialistas recomendam que os usuários evitem acessar sites de streaming ilegais e mantenham soluções de segurança sempre atualizadas.
