Campanha de infostealer afeta mais de um milhão de dispositivos

Uma campanha de malvertising em larga escala terá afetado um milhão de dispositivos a nível mundial ao redirecionar os utilizadores para malware hospedado no GitHub e, desta forma, aceder a informações confidenciais.

De acordo com a Microsoft, a campanha infostealer detetada no início de dezembro de 2024, e atribuída a um agente de ameaças rastreado como Storm-0408, teve como principais alvos os visitantes de sites ilegais de streaming.

A tecnológica refere que os ataques, que dependiam não só do GitHub para hospedar o malware, mas também do Discord e da Dropbox, impactaram “uma ampla variedade de organizações e setores, incluindo dispositivos de consumo e corporativos”.

O ataque incluía uma cadeia de redirecionamento sofisticada, composta por quatro a cinco camadas. Uma vez nos sites, os utilizadores eram redirecionados para um site intermédio e, de seguida, para a plataforma GitHub e para outras duas plataformas.

Uma vez instalado no dispositivo da vítima, o malware armazenado nos repositórios do GitHub implementaria arquivos e scripts adicionais como forma de recolher informações adicionais do sistema, executar comandos e aceder a dados dos sistemas comprometidos, entre eles dados confidenciais, cookies, dados de login e informações de formulários web presentes no Firefox, Chrome e Edge. Os repositórios em causa foram, entretanto, retirados.

De acordo com a Microsoft, as cargas úteis do primeiro estágio e utilizadas na campanha foram assinadas digitalmente. A empresa identificou e revogou 12 certificados diferentes, utilizados como parte dos ataques.

A Microsoft apelou às organizações e utilizadores que garantam a proteção devida dos seus sistemas, fornecendo detalhes técnicos sobre os arquivos e scripts maliciosos observados nestes ataques, juntamente com indicadores de comprometimento.