Microsoft svela una massiccia campagna di malvertising che ha colpito oltre un milione di PC

Notizie
Di Pubblicato

Infostealer diffusi tramite annunci su siti di streaming illegali, con repository GitHub usati per distribuire il malware.

Pirate skull cyber attack digital technology flag cyber on on computer CPU in background. Darknet and cybercrime banner cyberattack and espionage concept illustration.
(Immagine:: Shutterstock)

Più di un milione di PC sono stati infettati da infostealer a causa di una massiccia campagna di malvertising, secondo una recente ricerca condotta dai security researcher di Microsoft.

L’attacco ha avuto origine su siti di streaming illegale, dove gli utenti guardano contenuti piratati. I cybercriminali hanno inserito annunci pubblicitari all’interno dei video, che reindirizzavano gli spettatori attraverso una serie di pagine, fino a portarli su repository GitHub controllati dagli hacker.

Una volta lì, le vittime scaricavano un primo payload, che eseguiva un'analisi del sistema raccogliendo informazioni come versione del sistema operativo, risoluzione dello schermo e memoria disponibile. Questi dati venivano poi inviati a un server sotto il controllo degli attaccanti, mentre un secondo payload veniva distribuito per continuare l’infezione.

Infiltrati in azione

Il secondo payload varia in base al dispositivo compromesso. In alcuni casi, si tratta di un trojan di accesso remoto (RAT) NetSupport, seguito da Lumma Stealer o Doenerium, malware specializzati nel furto di credenziali di accesso, dati bancari e criptovalute. In altri scenari, il malware scarica un file eseguibile che avvia CMD, installando un interprete AutoIt rinominato con estensione .com.

AutoIt esegue poi una serie di operazioni che portano allo stesso risultato finale: l’esfiltrazione di file sensibili dal sistema della vittima.

Nella maggior parte dei casi, questi payload erano ospitati su GitHub, e Microsoft ha confermato di aver rimosso un numero non precisato di repository. Tuttavia, il malware è stato distribuito anche tramite Dropbox e Discord, rendendo ancora più difficile il tracciamento dell’attacco.

Microsoft non ha attribuito la campagna a un gruppo specifico, ma ha indicato che le vittime appartengono a settori molto diversi, coinvolgendo sia utenti privati che aziende.

"L’attività rientra nella categoria Storm-0408, il nome che usiamo per monitorare diversi gruppi di minaccia specializzati in malware per il furto di informazioni o il controllo remoto. Questi attori utilizzano tecniche come il phishing, l’ottimizzazione sui motori di ricerca (SEO) e il malvertising per diffondere contenuti dannosi", ha dichiarato Microsoft.

"La campagna ha colpito una vasta gamma di settori e organizzazioni, sia privati che aziendali, dimostrando la natura indiscriminata dell’attacco."

Via BleepingComputer

Patrizio Coccia

Nato nel 1995 e cresciuto da due genitori nerd, non poteva che essere orientato fin dalla tenera età verso un mondo fatto di videogiochi e nuove tecnologie. Fin da piccolo ha sempre esplorato computer e gadget di ogni tipo, facendo crescere insieme a lui le sue passioni. Dopo aver completato gli studi, ha lavorato con diverse realtà editoriali, cercando sempre di trasmettere qualcosa in più oltre alla semplice informazione. Amante del cioccolato fondente, continua a esplorare nuove frontiere digitali, mantenendo sempre viva la sua curiosità e la sua dedizione al settore.

Altro su security
Computer Hacked, System Error, Virus, Cyber attack, Malware Concept. Danger Symbol

Meta lancia l'allarme su una grave falla di sicurezza nel software open-source
Google Chrome dark mode

Google: nuova politica, addio ai link affiliati ingannevoli su Chrome
A close up of the new web version of Apple Music Classical

Apple Music Classical arriva sul web, ma il Mac resta ancora escluso
VEDI ALTRO ULTIME