I had a bad stream
Microsoft a découvert fin 2024 une campagne de « malvertising » utilisant des sites de streaming vidéo pour télécharger des malwares sur GitHub, Dropbox ou encore Discord.
L’équipe de recherche Microsoft Threat Intelligence explique dans un billet de blog publié jeudi 6 mars qu’elle a découvert que la plateforme d’hébergement et de versioning GitHub a été utilisée par des pirates pour déposer des malwares sur au moins un million d’appareils.
Selon les chercheurs, GitHub était la principale plateforme utilisée pour propager les malwares, mais elle n’était pas la seule : Discord et Dropbox aussi. Les utilisateurs étaient redirigés vers ces malwares par des plateformes de streaming illégales qui incluaient sur les vidéos non pas, comme habituellement, des publicités, mais une campagne de « malvertising », cette technique qui consiste à utiliser la pub pour propager des virus.
Plusieurs couches
Ils expliquent que les dépôts GitHub n’étaient pas utilisés pour stocker des virus en tant que tel, mais des exécutables qui déployaient d’autres fichiers et scripts malveillants. Ces fichiers étaient utilisés pour collecter des informations sur le système sur lequel ils étaient installés, comme la taille de la mémoire, la résolution de l’écran, le système d’exploitation et les chemins d’accès de l’utilisateur. Puis ils configuraient d’autres malwares et scripts pour « exfiltrer les documents et données de l’hôte compromis » et des techniques d’ « évasion » pour contourner de potentiels systèmes de sécurité en place.
Une cascade de redirections
Avant d’être dirigés vers ces fichiers hébergés sur GitHub, les utilisateurs passaient par une série d’autres redirections mise en place par les pirates pour obfusquer le lien entre les sites de streaming illégaux et les dépôts GitHub.
Le premier lien était inclus directement dans l’iframe de la vidéo du streaming utilisée pour générer des revenus de paiement aux clics ou aux vues. « Ces redirections acheminaient ensuite le trafic vers un ou deux autres redirections malveillantes, qui menaient finalement à un autre site web, tel qu’un site de logiciels malveillants ou d’escroquerie à l’assistance technique, qui redirigeait ensuite vers GitHub », explique Microsoft.
Ensuite, en fonction des données collectées sur l’appareil, étaient donc installés des malwares. La plupart du temps, Lumma Stealer ou une version mise à jour de Doenerium était installé. Les chercheurs expliquent que le malware utilisait soit des binaires, soit des scripts « living-off-the-land ». Ceux-ci se servent d’outils déjà présents dans l’environnement, comme PowerShell.exe, MSBuild.exe et RegAsm.exe, pour mener à bien leur attaque.
Microsoft indique que les dépôts GitHub malveillants ont depuis été supprimés.