Quase 1 milhão de PCs infectados: Microsoft desmantela campanha de malware

A Microsoft anunciou recentemente ter neutralizado uma operação massiva de malvertising que explorava anúncios enganosos em vídeos hospedados em sites ilegais de streaming. O ataque comprometeu quase um milhão de computadores ao redor do mundo e utilizava repositórios no GitHub para distribuir malware. A empresa conseguiu desativar esses repositórios, interrompendo a cadeia de infecção e reduzindo os danos.

Como o ataque funcionava?

O ataque foi identificado pela primeira vez no início de dezembro de 2024, quando a Microsoft detectou comportamentos anômalos em vários dispositivos que baixavam softwares maliciosos hospedados no GitHub. Os hackers manipulavam vídeos em sites de streaming e inseriam neles anúncios fraudulentos, que redirecionavam as vítimas para páginas controladas pelos criminosos.

Os usuários eram inicialmente levados a sites intermediários que se passavam por serviços de suporte técnico ou outras plataformas confiáveis. A partir daí, eram direcionados para os repositórios GitHub comprometidos, onde o malware era baixado automaticamente.

O que o malware fazia?

Uma vez instalado no dispositivo da vítima, o malware começava a coletar dados detalhados do sistema, como:

• Resolução de tela
• Memória disponível
• Sistema operacional
• Estrutura de diretórios do usuário

Na segunda fase do ataque, cargas maliciosas ainda mais avançadas eram baixadas. Entre elas, estavam:

• NetSupport RAT: um trojan de acesso remoto que permite controle persistente do dispositivo.
• Lumma e Doenerium: malwares especializados no roubo de credenciais de login salvas em navegadores e outros dados pessoais.

Os especialistas da Microsoft também descobriram que alguns scripts do ataque utilizavam PowerShell para contornar antivírus, incluindo a criação de exceções específicas no Windows Defender. Outros eram arquivos executáveis AutoIt renomeados para evitar detecção pelos sistemas operacionais.

Quem está por trás do ataque?

A Microsoft atribuiu a campanha ao grupo Storm-0408, conhecido por operar campanhas de malware em larga escala usando phishing, técnicas fraudulentas de SEO e anúncios maliciosos. O ataque afetou tanto usuários individuais quanto empresas de diversos setores.

Medidas de contenção e prevenção

Graças à rápida resposta da Microsoft, a propagação do malware foi contida e informações valiosas sobre as táticas dos criminosos foram coletadas. A empresa alerta os usuários sobre a importância de evitar sites de streaming ilegais, manter os sistemas atualizados e utilizar soluções de segurança robustas para evitar infecções futuras.