- Malvertising rouba dados sensíveis de quase 1 milhão de dispositivos.
- Microsoft detecta malware que afeta senhas e criptomoedas.
- Campanha de malvertising compromete dispositivos e carteiras de criptomoeda.
A Microsoft revelou que uma campanha de “malvertising”, que começou em dezembro, afetou quase 1 milhão de dispositivos Windows nos últimos meses.
Malvertising é o uso de anúncios online maliciosos para distribuir malware ou roubar dados.
O ataque, que visa principalmente credenciais de login, criptomoedas e outros dados confidenciais, foi conduzido de forma agressiva e indiscriminada, atingindo tanto indivíduos quanto uma grande variedade de organizações e indústrias.
Os atacantes, cujas identidades ainda são desconhecidas, usaram links maliciosos espalhados por sites para direcionar os dispositivos para servidores de anúncios comprometedores. Os links direcionaram as vítimas para repositórios no GitHub da Microsoft, onde hospedaram arquivos maliciosos. Os atacantes realizaram os ataques em quatro estágios distintos, preparando o terreno para o próximo até exfiltrarem os dados.
Cadeia de eventos e os danos causados pelo Malvertising
Cada uma das quatro fases do malware cumpria um papel específico. Assim, nos estágios iniciais, o ataque do Malvertising coletou informações sobre os dispositivos, adaptando as configurações para permitir a execução dos estágios subsequentes. O segundo estágio desativou aplicativos de detecção de malware e estabeleceu comunicação com servidores de comando e controle (C2). Isso garantiu que os dispositivos permanecessem infectados mesmo após reinicializações.
A partir daí, o malware exfiltrou dados como cookies de login, senhas e históricos de navegação dos navegadores, incluindo Firefox, Chrome e Edge. Além disso, arquivos armazenados no OneDrive da Microsoft também foram alvo do ataque. O malware ainda verificava a presença de carteiras de criptomoedas, como Ledger Live e Trezor Suite, indicando o roubo de informações financeiras dos usuários.
A Microsoft suspeita que os atacantes hospedaram os anúncios maliciosos em plataformas de streaming de conteúdo não autorizado, mencionando domínios como movies7[.]net e 0123movie[.]art como possíveis fontes do ataque
Atualmente, o Microsoft Defender já detecta os arquivos usados no ataque, e a empresa forneceu indicadores de comprometimento para que os usuários possam verificar se seus dispositivos foram afetados. A postagem da Microsoft também inclui medidas preventivas para proteger os dispositivos contra campanhas semelhantes no futuro.
