Anuncios Maliciosos en Sitios de Streaming Ilegal Infectaron 1 Millón de PCs, Advierte Microsoft

Microsoft ha cerrado múltiples repositorios de GitHub que se estaban utilizando en una campaña de malvertising a gran escala que afecta a casi un millón de dispositivos en todo el mundo.

La compañía descubrió el ataque en diciembre de 2024, cuando su equipo de inteligencia de amenazas notó que se estaba descargando malware desde GitHub en los dispositivos de los usuarios.

Según un análisis de Microsoft, los ciberdelincuentes insertaron anuncios maliciosos en los vídeos de sitios de streaming ilegales. Estos anuncios redirigían a los usuarios desprevenidos a GitHub, donde se descargaba secretamente malware en sus sistemas.

Una vez instalado, el malware desplegaba programas adicionales dañinos diseñados para robar información personal, comprometer la seguridad y permitir a los atacantes mantener el control sobre los dispositivos infectados.

El análisis de Microsoft reveló que la campaña estaba altamente organizada, utilizando múltiples etapas para propagar el malware. El primer paso implicaba atraer a los usuarios a GitHub, Discord o Dropbox, donde se alojaba el malware.

Una vez descargado, el malware recopilaba datos sobre el sistema infectado, incluyendo el tamaño de la memoria, detalles del sistema operativo e información del usuario. Los atacantes entonces utilizaban estos datos para desplegar programas aún más dañinos, incluyendo malware que robaba información como Lumma Stealer y Doenerium.

En algunos casos, también se instaló una herramienta de monitoreo remoto llamada NetSupport, permitiendo a los atacantes controlar los dispositivos infectados a distancia. La campaña, rastreada por Microsoft bajo el nombre Storm-0408, fue diseñada para ser difícil de detectar. Los atacantes utilizaron herramientas legítimas como PowerShell y JavaScript para mezclarse con las operaciones normales del sistema.

También implementaron técnicas de persistencia, como la modificación de la configuración del registro y la adición de atajos de inicio, para asegurarse de que el malware permaneciera en los dispositivos infectados incluso después de un reinicio.

Microsoft trabajó con el equipo de seguridad de GitHub para eliminar los repositorios maliciosos, evitando más infecciones. Sin embargo, la empresa advirtió que podrían ocurrir ataques similares en el futuro. Instó a los usuarios a ser cautelosos al visitar sitios de streaming ilegales y a mantener actualizados su software y protecciones de seguridad.

La entrada del blog también proporcionó detalles técnicos para profesionales de ciberseguridad, incluyendo formas de detectar signos de infección y prevenir amenazas similares.

Microsoft enfatizó la necesidad de que las organizaciones permanezcan vigilantes ante las amenazas cibernéticas en constante evolución, especialmente aquellas que aprovechan plataformas de confianza como GitHub para propagar malware.