A Microsoft revelou detalhes sobre uma campanha massiva de malvertising que infectou mais de 1 milhão de dispositivos em todo o mundo. A operação, identificada em dezembro de 2024, tem como objetivo o roubo de informações sensíveis por meio de anúncios maliciosos, impactando tanto usuários comuns quanto empresas de diversos setores. O ataque, atribuído ao grupo Storm-0408, utiliza sites ilegais de streaming como ponto de partida, inserindo redirecionadores que levam os usuários a repositórios no GitHub e outras plataformas, como Discord e Dropbox. Os repositórios no GitHub foram posteriormente removidos, mas a Microsoft não especificou quantos estavam comprometidos.

O malware distribuído nessa campanha funciona em várias camadas de infecção. Primeiro, ele se infiltra no sistema da vítima por meio de um dropper hospedado no GitHub. Em seguida, ele baixa cargas adicionais, como os malwares Lumma Stealer e Doenerium, projetados para roubar informações do sistema e dados financeiros, especialmente carteiras de criptomoedas. O ataque também usa o NetSupport RAT e scripts AutoIT para coletar mais informações e garantir persistência no dispositivo comprometido.

Uma característica marcante da campanha é sua sofisticada cadeia de redirecionamento, que pode incluir até cinco camadas antes de entregar a carga maliciosa final. Além disso, o ataque emprega scripts em PowerShell para desativar proteções do Microsoft Defender e baixar dados de servidores remotos, enquanto utiliza ferramentas legítimas do próprio sistema operacional, como MSBuild.exe e RegAsm.exe, para evitar detecção. A Microsoft alerta que essa campanha demonstra o uso crescente de repositórios públicos, como o GitHub, para hospedar malware, dificultando a identificação por ferramentas de segurança tradicionais. Além disso, a propagação via malvertising em sites piratas torna as vítimas mais suscetíveis, pois essas páginas já são conhecidas por práticas arriscadas.