Microsoft : près d'un million d'appareils ont été attaqués par des logiciels malveillants diffusés via des publicités sur des sites de streaming illégaux

Si vous visitez un site Web hébergeant des flux vidéo piratés, vous feriez mieux d’être prêt à accepter les risques. Les propriétaires du million d’appareils affectés par des logiciels malveillants provenant de ces sites n’y ont peut-être pas pensé. Microsoft a écrit que son équipe d'analyse des menaces a détecté une campagne publicitaire malveillante à grande échelle en décembre 2024, affectant près d'un million d'appareils dans le monde.

La société a retracé deux sites de streaming illégaux – movies7 et 0123movie – jusqu’à des redirecteurs de publicités malveillantes intégrés. Les attaquants ont injecté des publicités dans des vidéos hébergées sur le site Web. Ces publicités génèrent des revenus de paiement à la séance ou de paiement par clic à partir de la plate-forme de publicité malveillante et dirigent ensuite le trafic vers un ou deux redirecteurs malveillants supplémentaires.

Les victimes sont finalement dirigées vers un autre site Web, tel qu’un site frauduleux d’assistance technique, puis redirigées vers GitHub.

Le référentiel GitHub, qui abritait les logiciels malveillants utilisés pour déployer davantage de fichiers et de scripts malveillants, a désormais été supprimé. Une fois que quelqu'un télécharge le logiciel malveillant, celui-ci est utilisé pour collecter des informations système et déployer des charges utiles de deuxième étape pour voler des documents et des données.

La charge utile du script PowerShell de troisième étape télécharge ensuite le cheval de Troie d'accès à distance NetSupport (RAT) à partir du serveur de commande et de contrôle et définit la persistance dans le registre. Les RAT peuvent diffuser des logiciels malveillants de vol d'informations Lumma ou des versions mises à jour du logiciel de vol d'informations Doenerium.

Le malware permet également aux attaquants de surveiller les activités de navigation de la victime et même d'interagir avec les navigateurs actifs, notamment Firefox, Chrome et Edge.

La charge utile de la première étape est signée numériquement à l'aide d'un certificat nouvellement créé et contient des fichiers légitimes pour cacher sa véritable nature. Au total, 12 certificats différents ont été identifiés, tous ensuite révoqués.

Bien que GitHub soit la principale plate-forme pour fournir ces charges utiles, Microsoft a également découvert qu'une charge utile était hébergée sur Discord et une autre sur Dropbox. Comme pour GitHub, les pages web hébergeant des malwares sur ces plateformes ont été supprimées.

Microsoft a écrit que la campagne était aveugle et touchait à la fois les appareils grand public et professionnels. Microsoft a également noté que le logiciel Microsoft Defender pour Windows est capable de détecter et de signaler les logiciels malveillants utilisés dans les attaques.