Microsoft vient de lever le voile sur une vaste campagne malveillante qui a ciblé près d’un million de PC à travers le monde. Relativement sophistiquée, cette attaque exploitait des sites de streaming illégaux pour rediriger les utilisateurs vers des logiciels malveillants hébergés sur GitHub, Discord et Dropbox.
Les équipes du Microsoft Threat Intelligence ont découvert une vaste cyberattaque qui, pendant plusieurs semaines, a ciblé les usagers des sites, plateformes et autres services de streaming et d'IPTV illicites.
Proton VPN est l'un des fournisseurs VPN qui a le plus évolué au cours des derniers mois. Affichant l'une des plus belles interfaces du marché, Proton VPN intègre désormais un accélérateur de VPN qui augmente jusqu'à 400 % les vitesses de connexion.
Offre partenaire
Des sites de streaming illégaux comme point de départ
L’attaque s’appuyait sur une chaîne de redirections sophistiquée. Tout débutait sur des sites de streaming diffusant des contenus piratés, où des publicités malveillantes intégrées dans les vidéos servaient de vecteurs d’attaque. En cliquant sur ces annonces, volontairement ou non, les victimes étaient dirigées vers des sites intermédiaires, qui redirigeaient ensuite vers des fichiers hébergés sur GitHub, Dropbox ou Discord.
Les chercheurs de Microsoft ont observé que GitHub était le principal canal utilisé pour le déploiement des charges utiles malveillantes. Ces dépôts GitHub, supprimés depuis, hébergeaient des logiciels conçus pour voler des informations sensibles.
Le mode opératoire de l’attaque était conçu pour fonctionner en plusieurs étapes et déjouer les solutions de sécurité, afin d’assurer de sa persistance sur les appareils infectés.
- Premier acte : un fichier malveillant hébergé sur GitHub est téléchargé et exécuté sur l’ordinateur cible. Il sert de dropper, c’est-à-dire un programme qui installe et déclenche l’exécution d’autres malwares.
- Deuxième acte : des scripts et fichiers malveillants analysent l’ordinateur infecté et collectent des données système (mémoire, GPU, OS, chemins d’accès des utilisateurs, etc.). Ces informations sont ensuite exfiltrées vers des serveurs distants via HTTP.
- Troisième acte : l'attaque passe à une phase plus agressive avec l’installation d’outils comme NetSupport (un logiciel d’accès à distance) et de malwares spécialisés dans le vol d’informations, notamment Lumma Stealer et Doenerium. Ces derniers ciblent les navigateurs web pour récupérer identifiants, mots de passe et autres données sensibles.
- Quatrième acte : le malware assure sa persistance sur l’appareil en modifiant des clés de registre Windows et en plaçant des fichiers dans le dossier de démarrage. Pour contourner les antivirus, il utilise des techniques avancées comme des commandes PowerShell obfusquées et des scripts AutoIT.
Une menace qui touche entreprises et particuliers
Cette attaque ne visait pas de cible spécifique et était menée "à l'aveugle". En réalité, elle a aussi bien touché des appareils grand public que des équipements d'entreprise. Elle illustre la montée en puissance des techniques de malvertising, où les cybercriminels exploitent la publicité en ligne pour distribuer des logiciels malveillants à grande échelle.
Microsoft a collaboré avec GitHub pour faire supprimer les dépôts malveillants. Néanmoins, d’autres plateformes comme Discord et Dropbox ont également été utilisées, montrant que les cybercriminels exploitent divers services cloud pour héberger leurs malwares.
Comment se protéger ?
Face à ce type de menaces, Microsoft recommande plusieurs bonnes pratiques :
- Éviter les sites de streaming illégaux, souvent utilisés comme porte d’entrée pour des cyberattaques.
- Mettre à jour son système d’exploitation et ses logiciels pour corriger les failles de sécurité.
- Activer la protection réseau et la détection des menaces via des solutions de cybersécurité comme Microsoft Defender.
- Se méfier des fichiers téléchargés via des liens suspects, notamment comme c'était le cas ici sur des plateformes comme GitHub, Discord ou Dropbox.
Cette vaste campagne de vol de données personnelles nous rappelle que les solutions illicites pour consommer films, séries et autres retransmissions sportives présentent des risques majeurs et sont souvent vecteurs d'infections.
Source : Microsoft
