Nos últimos meses, quase um milhão de dispositivos Windows foram alvo de uma sofisticada campanha de "malvertising" (publicidade maliciosa), que furtava credenciais de login, criptomoedas e outras informações sensíveis das máquinas infectadas, segundo a Microsoft.
A campanha teve início em dezembro, quando os invasores — cuja identidade permanece desconhecida — espalharam links maliciosos em sites comprometidos. Esses links redirecionavam os usuários por várias páginas intermediárias até chegarem a repositórios no GitHub de propriedade da Microsoft, onde arquivos maliciosos estavam armazenados.
O ataque foi executado em quatro fases, cada uma servindo como um passo preparatório para a próxima. Nos primeiros estágios, o malware coletava informações do sistema infectado, possivelmente para personalizar os ataques subsequentes. Nos estágios finais, o código malicioso desativava softwares de detecção de ameaças, conectava-se a servidores de comando e controle (C2) e mantinha o dispositivo infectado mesmo após reinicializações.
De acordo com pesquisadores da Microsoft, a carga útil do segundo estágio executava múltiplos arquivos no dispositivo comprometido, incluindo scripts em PowerShell. Esses scripts ativavam um ciclo de eventos que envolviam execução de comandos, entrega de carga maliciosa, evasão de segurança, persistência na máquina e extração de dados.
A campanha visou indiscriminadamente dispositivos de usuários comuns, além de computadores pertencentes a empresas de diversos setores. Esse modus operandi sugere que o ataque foi oportunista, sem um alvo específico, buscando infectar o maior número possível de sistemas. O GitHub foi a principal plataforma utilizada para hospedar os arquivos maliciosos, mas serviços como Discord e Dropbox também foram explorados.
O malware identificava e extraía dados de diversas pastas do sistema, incluindo arquivos armazenados por navegadores populares como Chrome, Firefox e Edge. Entre as informações roubadas estavam cookies de login, senhas salvas, históricos de navegação e outros dados confidenciais. Além disso, o malware buscava arquivos no serviço de nuvem OneDrive e verificava a presença de carteiras de criptomoedas, como Ledger Live, Trezor Suite, KeepKey, BCVault, OneKey e BitBox, indicando a intenção de roubo financeiro.
A Microsoft acredita que os sites responsáveis por hospedar os anúncios maliciosos sejam plataformas de streaming que oferecem conteúdo pirata. Entre os domínios suspeitos, estão movies7[.]net e 0123movie[.]art.
O Microsoft Defender agora detecta os arquivos maliciosos utilizados no ataque, e é provável que outras ferramentas de segurança também já tenham atualizado suas bases para identificar e bloquear a ameaça. A Microsoft recomenda que usuários revisem os indicadores de comprometimento listados em sua publicação oficial e adotem medidas preventivas para evitar serem vítimas de campanhas semelhantes de malvertising.
