Du streaming illégal ? Du malvertising a touché 1 million de PC

Pour savoir tout ce qu'il se passe sur la toile
Répondre
Avatar du membre
chtimi054
Administrateur du site
Administrateur du site
Messages : 9126
Enregistré le : ven. 26 juil. 2013 06:56
A remercié : 114 fois
A été remercié : 684 fois
    Windows 10 Firefox

Du streaming illégal ? Du malvertising a touché 1 million de PC

Message par chtimi054 »

Du streaming illégal ? Du malvertising a touché 1 million de PC

Une campagne massive de malvertising sur des sites de streaming vidéo pirates a permis de diffuser des infostealers via GitHub.
Image Microsoft Threat Intelligence révèle avoir identifié une vaste campagne de malvertising qui a touché près d'un million d'appareils dans le monde. Elle a reposé sur l'injection de publicités malveillantes dans des vidéos sur des sites de streaming illégal.

Les victimes ont été redirigées vers des dépôts GitHub sous le contrôle des attaquants, afin de les infecter avec des malwares de type infostealer. La plateforme GitHub a ainsi servi à l'hébergement de charges utiles de premier niveau.

Dans une moindre mesure, d'autres plateformes comme Discord et Dropbox ont également été exploitées sous l'égide de l'activité malveillante qui est suivie par Microsoft sous le nom générique de Storm-0408. Il n'y a pas d'attribution spécifique.

Quatre niveaux de charges utiles

Un billet de blog entre dans les détails techniques. Il souligne des charges utiles malveillantes de deuxième, troisième et quatrième niveau.
Image Dans la dernière étape, l'outil Regasm.exe (Assembly Registration Tool) ou PowerShell ont pu être utilisés pour ouvrir des fichiers, activer le débogage du navigateur à distance et exfiltrer davantage de données. Microsoft note en outre que dans certains cas, PowerShell a aussi servi à configurer des exclusions pour Microsoft Defender.

L'attaque a été détectée pour la première fois début décembre 2024. L'alerte a été donnée par le fait que plusieurs appareils avaient téléchargé des nuisibles à partir des dépôts GitHub.

Des indices sur les sites pirates

Les indicateurs de compromission sont communiqués par Microsoft. Ils permettent notamment d'apprendre que les infections ont eu pour origine les domaines de streaming video movies7[.]net et 0123movie[.]art avec un iframe malveillant.

Pour passer sous les radars, l'attaque a eu recours à des certificats logiciels signés et en diffusant des fichiers légitimes.

« Mi-janvier 2025, les charges utiles de premier niveau découvertes étaient signées à l'aide d'un certificat nouvellement créé », écrit Microsoft en soulignant avoir révoqué un total de douze certificats différents.

merci à GNT
Haut
Répondre

Retourner vers « Actualité du Web »