Nel dicembre 2024, Microsoft Threat Intelligence ha scoperto una campagna di malvertising su larga scala che ha interessato quasi un milione di dispositivi a livello globale. Questa campagna ha segnato una nuova era nell’evoluzione delle minacce informatiche, evidenziando come i cybercriminali utilizzano piattaforme legittime per ospitare e distribuire malware sofisticati.
Origine della campagna di malvertising
L’attacco ha avuto origine da siti di streaming illegali, che contenevano in un iframe il redirector di malvertising. Questi redirector reindirizzavano gli utenti a GitHub e ad altre piattaforme legittime, dove venivano ospitati repository contenenti malware. Questi repository sono stati successivamente rimossi da GitHub, ma non prima che il malware avesse infettato numerosi dispositivi. Ecco la catena di reindirizzamento dal sito Web di streaming pirata ai file malware su GitHub
Distribuzione del malware
Il malware iniziale ha preso piede sui dispositivi delle vittime e ha proceduto a distribuire ulteriori file e script dannosi. Questo processo modulare e multi-fase ha permesso al malware di eseguire, consegnare e mantenere il payload in modo efficace.
Identificazione della minaccia: Storm-0408
Microsoft ha tracciato questa attività sotto il nome di Storm-0408. Gli analisti di sicurezza hanno lavorato instancabilmente per identificare, monitorare e mitigare la minaccia. La collaborazione con GitHub e altre piattaforme è stata fondamentale per rimuovere i repository dannosi e impedire ulteriori infezioni.
Implicazioni per la sicurezza informatica
Questa campagna di malvertising evidenzia le sfide crescenti che le aziende e gli utenti devono affrontare nel panorama della sicurezza informatica. La capacità dei cybercriminali di utilizzare piattaforme legittime per ospitare e distribuire malware sottolinea la necessità di una vigilanza continua e di misure di sicurezza avanzate.
In conclusione, questa campagna di malvertising rappresenta un esempio allarmante di come le minacce informatiche stiano evolvendo. La collaborazione tra le piattaforme, come quella tra Microsoft e GitHub, è risultata cruciale per identificare e rimuovere le minacce rapidamente, impedendo ulteriori infezioni e proteggendo gli utenti. È essenziale che le aziende e gli utenti adottino misure proattive per proteggersi, inclusa l’adozione di soluzioni di sicurezza avanzate e la sensibilizzazione sulle tecniche di attacco più recenti. Inoltre, è importante evitare l’uso di software pirata e illegale, poiché questi rappresentano spesso un veicolo per la distribuzione di malware e altre minacce informatiche.
