Quase 1 milhão de dispositivos Windows são alvo de uma onda sofisticada de “malvertising”

Quase 1 milhão de dispositivos Windows foram afetados nos últimos meses por uma avançada campanha de “malvertising” que furtou credenciais de login, criptomoedas e outras informações sigilosas de sistemas comprometidos, informou a Microsoft.

A operação teve início em dezembro, quando os criminosos, cuja identidade permanece desconhecida, espalharam sites com links que redirecionavam para anúncios hospedados em servidores maliciosos. Esses links conduziam as vítimas por diversas páginas intermediárias até finalmente levá-las a repositórios no GitHub pertencentes à Microsoft, onde estavam armazenados vários arquivos maliciosos.

Cadeia de eventos

O malware foi implementado em quatro fases, cada uma servindo como base para a seguinte. As etapas iniciais coletavam informações do dispositivo, possivelmente para personalizar a ação das etapas posteriores. Já os estágios finais desativavam ferramentas de detecção de ameaças e estabeleciam conexão com servidores de comando e controle; os dispositivos permaneciam infectados mesmo após reinicializações.

Leia também

“Dependendo da carga útil da segunda etapa, um ou mais executáveis ​​são inseridos no dispositivo comprometido, às vezes acompanhados por um script PowerShell codificado”, explicaram pesquisadores da Microsoft na quinta-feira. “Esses arquivos desencadeiam uma série de eventos que possibilitam execução de comandos, entrega de cargas maliciosas, evasão de defesa, persistência, comunicação C2 e exfiltração de informações.”

A campanha atingiu “quase” 1 milhão de dispositivos pertencentes tanto a usuários individuais quanto a uma ampla gama de empresas e setores. O caráter indiscriminado do ataque sugere que ele foi oportunista, visando qualquer alvo disponível em vez de organizações ou pessoas específicas. O GitHub foi a principal plataforma usada para armazenar os arquivos maliciosos, mas o Discord e o Dropbox também foram explorados para esse fim.

O malware identificou recursos no computador infectado e os enviou para o servidor C2 dos atacantes. Os dados exfiltrados incluíam arquivos do navegador que armazenam cookies de autenticação, senhas, históricos de navegação e outras informações confidenciais, como:
• \AppData\Roaming\Mozilla\Firefox\Profiles.default-release\cookies.sqlite
• \AppData\Roaming\Mozilla\Firefox\Profiles.default-release\formhistory.sqlite
• \AppData\Roaming\Mozilla\Firefox\Profiles.default-release\key4.db
• \AppData\Roaming\Mozilla\Firefox\Profiles.default-release\logins.json
• \AppData\Local\Google\Chrome\Dados do usuário\Padrão\Dados da Web
• \AppData\Local\Google\Chrome\Dados do usuário\Padrão\Dados de login
• \AppData\Local\Microsoft\Edge\Dados do usuário\Padrão\Dados de login

Arquivos armazenados na plataforma em nuvem OneDrive da Microsoft também foram comprometidos. Além disso, o malware verificou a existência de carteiras de criptomoedas, como Ledger Live, Trezor Suite, KeepKey, BCVault, OneKey e BitBox, “indicando um possível roubo de informações financeiras”, afirmou a Microsoft.

A empresa suspeita que os sites usados para distribuir os anúncios maliciosos sejam plataformas de streaming que oferecem conteúdo não autorizado. Dois dos domínios identificados são movies7[.]net e 0123movie[.]art.

O Microsoft Defender agora detecta os arquivos empregados no ataque, e outros softwares de segurança devem fazer o mesmo. Quem suspeitar de uma possível infecção pode conferir os indicadores de comprometimento no relatório publicado pela Microsoft. O documento também apresenta medidas preventivas para evitar futuras campanhas de malvertising.