Microsoft: malvertising-campagne misbruikt GitHub voor info-stelende malware
Microsoft Threat Intelligence heeft een grootschalige malvertising-campagne ontdekt die in december 2024 bijna een miljoen apparaten wereldwijd heeft getroffen. De campagne, gericht op het stelen van informatie, begon op illegale streamingwebsites met ingebedde malvertising-redirectors. Gebruikers werden via een tussenwebsite doorgestuurd naar GitHub en andere platformen.
GitHub werd voornamelijk gebruikt voor het hosten van de initiële malware, hoewel ook Discord en Dropbox werden gebruikt. De kwaadaardige GitHub-repositories, die inmiddels zijn verwijderd, bevatten malware die extra schadelijke bestanden en scripts installeerde. Deze bestanden verzamelden systeeminformatie en richtten verdere malware en scripts in om documenten en gegevens te stelen.
De aanval, toegeschreven aan de groep Storm-0408, maakte gebruik van een meerfasige aanpak. De redirectieketen bestond uit vier tot vijf lagen, waarbij malvertising-redirectors in iframes op illegale streamingwebsites waren ingebed.
Microsoft heeft de campagne geanalyseerd en publiceert details over de redirectieketen en de gebruikte payloads. Ze bieden ook aanbevelingen voor het beperken van de impact van deze dreiging, detectiedetails, indicators of compromise (IOC's) en hunting-richtlijnen. Microsoft bedankt het GitHub-beveiligingsteam voor hun snelle reactie en samenwerking bij het verwijderen van de kwaadaardige repositories.
Dutch IT events
Alle events
Meer over cybercrime
Over Witold Kepinski
