Entre los últimos casos de ciberdelincuencia se encuentra el detectado por el equipo de Microsoft Threat Intelligence, desde donde han identificado una sofisticada campaña de malvertising que utilizaba repositorios de GitHub para distribuir software malicioso. Esta operación, que se desarrolló a finales del año pasado, afectó a cerca de un millón de dispositivos, exponiéndolos al robo de información.
Un sofisticado ataque compuesto en varios niveles
La campaña comenzaba en sitios web donde compartían películas y series de manera no autorizada, donde se insertaban anuncios maliciosos con redirecciones ocultas. Estos anuncios generaban ingresos por visualización o clic a través de plataformas de publicidad engañosa. Sin embargo, su objetivo principal no era solo el beneficio económico, sino redirigir a las víctimas a dominios peligrosos.
Los usuarios afectados eran enviados a través de una cadena de redireccionamientos, pasando por uno o dos intermediarios maliciosos antes de llegar a una web final. En esta última etapa, la página redirigía nuevamente al usuario hacia un repositorio de GitHub que contenía el código inicial del ataque.
Una vez en GitHub, la víctima descargaba de manera no intencionada un primer payload, el cual ejecutaba un código diseñado para desplegar otras dos cargas adicionales. La primera de estas cargas recopilaba información del sistema infectado, incluyendo datos sobre la memoria RAM, capacidades gráficas, resolución de pantalla, sistema operativo y rutas de usuario.
El tercer nivel de la infección variaba según el dispositivo comprometido, pero generalmente incluía actividades maliciosas como la comunicación con servidores de comando y control (C2). Esta conexión permitía a los atacantes descargar más archivos peligrosos, extraer información del sistema y aplicar técnicas para evadir mecanismos de seguridad.
Uno de los objetivos principales de la campaña era robar credenciales almacenadas en navegadores web. Para ello, los atacantes diseñaron un sistema de redirecciones en varias capas (entre cuatro y cinco niveles) que permitía desplegar código malicioso progresivamente, asegurando la persistencia del ataque en los dispositivos comprometidos.
Microsoft ha confirmado que los repositorios maliciosos utilizados en GitHub ya han sido eliminados. Además, la compañía ha proporcionado un informe detallado acerca del nivel de dispositivos comprometidos y otros datos relevantes para ayudar a detectar y mitigar amenazas similares en el futuro.
Imagen de portada | Sunrise King
Vía | The Register
En Genbeta | Un malware ha pasado el filtro de la App Store y está leyendo las capturas de pantalla: estas son las apps infectadas
-
La noticia Microsoft detecta un ataque que ha robado las contraseñas de casi un millón de equipos a través de webs para descargar películas fue publicada originalmente en Genbeta por Antonio Vallejo .
☞ El artículo completo original de Antonio Vallejo lo puedes ver aquí
No hay comentarios.:
Publicar un comentario