En décembre 2024, Microsoft a identifié une vaste campagne de publicités malveillantes, également connue sous le nom de « malvertising », ayant compromis près d’un million d’appareils à travers le monde.
Les cybercriminels ont exploité des sites de streaming illégaux en y intégrant des publicités infectées dans les vidéos diffusées. Ces publicités redirigeaient les utilisateurs vers des dépôts GitHub contrôlés par les attaquants, à partir desquels des logiciels malveillants étaient téléchargés sur les systèmes des victimes.
Une fois installés, ces logiciels malveillants effectuaient une reconnaissance approfondie du système, collectant des informations détaillées telles que la taille de la mémoire, les caractéristiques graphiques, la résolution d’écran, le système d’exploitation et les chemins d’accès des utilisateurs. Ces données étaient ensuite exfiltrées vers les attaquants, qui déployaient des charges utiles supplémentaires, notamment des chevaux de Troie d’accès à distance comme NetSupport, ainsi que des voleurs d’informations tels que Lumma et Doenerium.
Bien que GitHub ait été la principale plateforme utilisée pour héberger ces charges malveillantes, Microsoft a également observé des utilisations similaires de services tels que Dropbox et Discord.
Microsoft a réagi en supprimant un nombre indéterminé de dépôts GitHub utilisés dans cette campagne de malvertising. L’entreprise continue de surveiller activement ces menaces pour protéger les utilisateurs et les organisations contre de futures attaques similaires.
