Blog

Microsoft confirma ataque de publicidad maliciosa en PCs Windows

Microsoft y publicidad engañosa.

Microsoft ha desatado una campaña de publicidad maliciosa de gran escala, la cual habría estado orquestada con el objetivo de robar información sensible de dispositivos en todo el mundo. 

Al parecer, este método de ataque, detectado a finales del año pasado, tuvo su punto de partida en un entorno donde la cautela a menudo se relaja: sitios de streaming ilegales que ofrecen contenido pirateado.

Microsoft y el engaño en la sombra del streaming ilegal

En base a la última investigación realizada por Bleeping Computer, los hackers sembraron anuncios trampa en estas plataformas de streaming. 

De hecho, al hacer clic las víctimas eran redirigidas sigilosamente a repositorios maliciosos alojados en GitHub y a otras dos plataformas bajo el control de los atacantes. Este era solo el primer paso de un intrincado proceso.

Desgranando el proceso del malware: una amenaza en cuatro etapas

La sofisticación de este ataque reside en su meticuloso proceso de infiltración y exfiltración de datos, que Microsoft ha logrado detallar:

Etapa 1: (Recopilación inicial de inteligencia)

Una vez que la víctima accedía al repositorio malicioso, se descargaba una primera carga útil diseñada para actuar como un espía silencioso. 

Pero, ¿cuál era su misión? Al parecer, recopilar información detallada del sistema, incluyendo datos cruciales como el sistema operativo, el tamaño de la memoria RAM y las especificaciones gráficas.

Etapa 2: (Descubrimiento y exfiltración sigilosa). 

Más allá de que GitHub fuese la plataforma principal para la entrega inicial, Microsoft también identificó cargas útiles en Discord y Dropbox. 

Es más, luego de afianzarse en el dispositivo, los archivos de la segunda etapa se activaron para realizar un reconocimiento exhaustivo del sistema. 

La información recopilada era astutamente codificada en Base64 e incrustada en una URL, para luego ser enviada a una dirección IP controlada por los atacantes mediante una simple petición HTTP. 

Etapa 3: (Despliegue de la carga final).

Luego de analizar la información sustraída previamente, se desplegaban uno o varios archivos ejecutables en el equipo infectado. 

Un ejemplo destacado es el uso de un script de PowerShell codificado, capaz de implementar malware de robo de alta peligrosidad como “Lumma” o “Doenerium”. 

Al parecer, estos programas maliciosos tendrían la capacidad de extraer datos bancarios, credenciales de inicio de sesión e información valiosa relacionada con criptomonedas.

Etapa 4: (Persistencia y exfiltración final). 

En esta última fase del ataque, si el archivo desplegado era ejecutable, creaba y ejecutaba un archivo CMD que, a su vez, iniciaba un intérprete AutoIT v3 (AutoIt3.exe) utilizando una extensión de archivo.com. 

Este paso adicional permitiría a los atacantes ejecutar una serie de comandos que culminaban en el objetivo final: el robo de archivos confidenciales del sistema comprometido.

Un ataque indiscriminado: amplio impacto en sectores y usuarios

Hace unos días, Microsoft habría confirmado que los repositorios de GitHub utilizados en esta campaña han sido desmantelados. La actividad de este grupo se rastrea bajo el nombre genérico “Storm-0408”.

Según expertos en ciberseguridad, esta etiqueta es utilizada para monitorear a diversos actores de amenazas que emplean acceso remoto o malware de robo de información, distribuyéndolos a través de campañas de phishing, optimización de motores de búsqueda (SEO) maliciosa o, como en este caso, publicidad maliciosa.

Ahora, lo que más preocupa es la amplia gama de organizaciones e industrias afectadas, incluyendo tanto dispositivos de consumo como empresariales. 

Esto subraya la naturaleza indiscriminada del ataque y la importancia de la vigilancia en todos los entornos digitales. 

A pesar de que el malware también se alojó en Dropbox y Discord, Microsoft no ha atribuido la campaña a ningún sector de amenazas específico por el momento.

Implicaciones y recomendaciones para la protección digital

Como sabrán, este incidente masivo sirve como un recordatorio contundente de los riesgos asociados al consumo de contenido pirateado en línea. 

De hecho, los sitios que ofrecen streaming ilegal a menudo se convierten en caldo de cultivo para la distribución de malware cómoda. Por tanto, para protegerte de amenazas similares, es crucial:

  • Evitar sitios web que ofrecen contenido pirateado. 
  • Mantén el software y sistema operativo actualizados. Las actualizaciones suelen incluir parches de seguridad críticos.
  • Utiliza un software antivirus y antimalware robusto.
  • Se cauteloso al hacer clic en anuncios en línea, más aún en sitios web de dudosa reputación.
  • Activa la autenticación de dos factores (2FA) siempre que sea posible para agregar una capa extra de seguridad a sus cuentas.
  • Desconfía de archivos adjuntos y enlaces sospechosos en correos electrónicos y mensajes.

En fin, la campaña Storm-0408 demuestra la continua evolución de las tácticas de los delincuentes informáticos y de la necesidad de una conciencia cibernética activa y medidas de seguridad proactivas por parte de todos los usuarios y organizaciones. 

La batalla por la seguridad digital es constante, y la información y la precaución son nuestras mejores armas.

Otros artículos interesantes: 

(S.M.C)

¡Haz clic para puntuar esta entrada!
(Votos: 1 Promedio: 5)
Etiquetas: , , ,