Discussion :

[Stéphane le calme]

Microsoft admet l’hébergement involontaire d’un logiciel malveillant sur GitHub qui a infecté près d'un million d'appareils,
les cybercriminels ont exploité des publicités piégées sur des sites de streaming illégaux

Une récente enquête menée par Microsoft Threat Intelligence a mis en lumière une vaste campagne de malvertising (publicités malveillantes) ayant infecté près d'un million d'appareils en exploitant des annonces piégées sur des sites de streaming illégaux. Cette attaque, débutée en décembre 2024, redirigeait les visiteurs de ces sites vers des pages frauduleuses, les conduisant ensuite vers des plateformes telles que GitHub, Dropbox et Discord, où le logiciel malveillant était hébergé.

Les sites identifiés comme principaux vecteurs de cette propagation sont movies7[.]net et 0123movie[.]art. Le mécanisme de l'attaque reposait sur des publicités intégrées dans les vidéos de ces sites, générant des redirections successives vers des pages d'arnaques au support technique. Les victimes étaient ensuite incitées à télécharger des logiciels prétendument utiles, mais contenant en réalité des programmes malveillants.

Cette campagne souligne les risques associés à l'utilisation de sites de streaming illégaux, souvent financés par des publicités non contrôlées pouvant servir de vecteurs pour des logiciels malveillants. Les cybercriminels exploitent ces plateformes pour diffuser leurs attaques à grande échelle, profitant de l'attrait des utilisateurs pour du contenu gratuit ou piraté.

Début décembre 2024, Microsoft Threat Intelligence a détecté une campagne de malvertising à grande échelle qui a touché près d'un million d'appareils dans le monde entier dans le cadre d'une attaque opportuniste visant à voler des informations. L'attaque provenait de sites de streaming illégaux intégrant des redirecteurs de publicité malveillante, menant à un site web intermédiaire où l'utilisateur était ensuite redirigé vers GitHub et deux autres plateformes. La campagne a touché un large éventail d'organisations et d'industries, y compris des appareils grand public et d'entreprise, mettant en évidence la nature indiscriminée de l'attaque.

GitHub a été la principale plateforme utilisée pour la livraison des charges utiles d'accès initial et est référencée tout au long de ce billet de blog ; cependant, Microsoft Threat Intelligence a également observé une charge utile hébergée sur Discord et une autre hébergée sur Dropbox.

Les dépôts GitHub, qui ont été supprimés, stockaient des logiciels malveillants utilisés pour déployer d'autres fichiers et scripts malveillants. Une fois que le logiciel malveillant initial provenant de GitHub a pris pied sur l'appareil, les fichiers supplémentaires déployés avaient une approche modulaire et en plusieurs étapes de la livraison, de l'exécution et de la persistance de la charge utile. Les fichiers ont été utilisés pour collecter des informations sur le système et pour mettre en place d'autres logiciels malveillants et scripts afin d'exfiltrer des documents et des données de l'hôte compromis. Cette activité est répertoriée sous le nom de Storm-0408 que nous utilisons pour suivre de nombreux acteurs associés à des logiciels malveillants d'accès à distance ou de vol d'informations et qui utilisent des campagnes de phishing, d'optimisation des moteurs de recherche (SEO) ou de malvertising pour distribuer des charges utiles malveillantes.

Activité GitHub et chaîne de redirection

GitHub a hébergé une charge utile de première étape qui a installé un code qui a déposé deux autres charges utiles. L'une d'entre elles recueillait des informations sur la configuration du système, telles que des données sur la taille de la mémoire, les capacités graphiques, la résolution de l'écran, le système d'exploitation présent et les chemins d'accès de l'utilisateur.

Les charges utiles de la troisième étape variaient, mais la plupart « menaient des activités malveillantes supplémentaires telles que la commande et le contrôle (C2) pour télécharger des fichiers supplémentaires et exfiltrer des données, ainsi que des techniques d'évasion de la défense ».

Les attaquants ont créé quatre à cinq couches de redirection dans le cadre de la campagne, chacune d'entre elles faisant suite au dropper GitHub pour installer d'autres nuisances qui, semble-t-il, ont été conçues pour voler des informations, y compris des identifiants de navigateur stockés.

Microsoft a noté que les dépôts malveillants ont depuis été supprimés, et a fourni de nombreux indicateurs de compromission et d'autres informations précieuses dans son rapport pour aider à la chasse et à l'arrêt des campagnes connexes.

Depuis au moins le début du mois de décembre 2024, de nombreux hôtes ont téléchargé des charges utiles de première étape à partir de dépôts GitHub malveillants. Les utilisateurs ont été redirigés vers GitHub par le biais d'une série d'autres redirections. L'analyse de la chaîne de redirections a permis de déterminer que l'attaque provenait probablement de sites de streaming illégaux où les utilisateurs peuvent regarder des vidéos piratées. Les sites de streaming ont intégré des redirecteurs de malvertising dans les images des films afin de générer des revenus à la carte ou au clic à partir de plateformes de malvertising. Ces redirecteurs acheminaient ensuite le trafic vers un ou deux autres redirecteurs malveillants, qui aboutissaient finalement à un autre site web, tel qu'un site de logiciels malveillants ou d'escroquerie à l'assistance technique, qui redirigeait ensuite vers GitHub.

Plusieurs phases de logiciels malveillants ont été déployées dans le cadre de cette campagne, comme indiqué ci-dessous, et les différentes phases d'activité qui se sont produites dépendaient de la charge utile déposée au cours de la deuxième phase.

• La charge utile de la première étape, hébergée sur GitHub, a servi de dropper pour l'étape suivante des charges utiles.
• Les fichiers de la deuxième étape ont été utilisés pour découvrir le système et exfiltrer des informations système codées en Base64 dans l'URL et envoyées par HTTP à une adresse IP. Les informations collectées comprenaient des données sur la taille de la mémoire, les détails graphiques, la résolution de l'écran, le système d'exploitation (OS) et les chemins d'accès de l'utilisateur.
• Diverses charges utiles de troisième étape ont été déployées en fonction de la charge utile de deuxième étape. En général, la charge utile de troisième étape menait des activités malveillantes supplémentaires telles que la commande et le contrôle (C2) pour télécharger des fichiers supplémentaires et exfiltrer des données, ainsi que des techniques d'évasion de la défense.

La chaîne de redirection complète était composée de quatre à cinq couches. Les chercheurs de Microsoft ont déterminé que les redirecteurs de publicité malveillante étaient contenus dans une iframe sur des sites de streaming illégaux.

Ce n'est pas la première fois que GitHub est utilisée

En 2024, les équipes recherche en sécurité et en science des données d'Apiiro ont détecté une résurgence d'une campagne de confusion de dépôts malveillants a une échelle importante : l'attaque a touché plus de 100 000 dépôts GitHub (et probablement des millions) lorsque des développeurs peu méfiants ont utilisé des dépôts qui ressemblaient à des dépôts connus et fiables, mais qui étaient en fait infectés par un code malveillant.

Comme pour les attaques par confusion de dépendances, les acteurs malveillants incitent leur cible à télécharger leur version malveillante au lieu de la vraie. Mais les attaques par confusion de dépendances tirent parti du fonctionnement des gestionnaires de paquets, tandis que les attaques par confusion de dépôts s'appuient simplement sur le fait que les humains choisissent par erreur la version malveillante au lieu de la vraie, en recourant parfois aussi à des techniques d'ingénierie sociale.

Dans le cas présent, afin de maximiser les chances d'infection, l'acteur malveillant a inondé GitHub de dépôts malveillants, en suivant les étapes suivantes :

• Cloner des dépôts existants (par exemple : TwitterFollowBot, WhatsappBOT, discord-boost-tool, Twitch-Follow-Bot, et des centaines d'autres).
• Les infecter avec des chargeurs de logiciels malveillants.
• Les uploader à nouveau sur GitHub avec des noms identiques.
• En les forkant automatiquement des milliers de fois.
• Les promouvoir sur le web via des forums, Discord, etc.

Lorsque des développeurs peu méfiants utilisent l'un des dépôts malveillants, la charge utile cachée déballe sept couches d'obscurcissement, ce qui implique également l'extraction d'un code Python malveillant et, plus tard, d'un exécutable binaire. Le code malveillant (en grande partie une version modifiée de BlackCap-Grabber) recueille alors les identifiants de connexion de différentes applications, les mots de passe et les cookies du navigateur, ainsi que d'autres données confidentielles. Il les renvoie ensuite au serveur C&C (commande et contrôle) des acteurs malveillants et exécute une longue série d'activités malveillantes supplémentaires.

Source : Microsoft

Et vous ?

Microsoft et GitHub ont-ils fait preuve de négligence en hébergeant involontairement du malware ? GitHub devrait-il renforcer ses mécanismes de détection et de suppression des logiciels malveillants ?

Qui doit être tenu responsable en cas de propagation de malware via des plateformes légitimes ?

Les utilisateurs sont-ils pleinement conscients des risques liés aux sites de streaming illégaux ? Faut-il responsabiliser les plateformes de publicité qui diffusent ces annonces frauduleuses ?

Les cybercriminels sont-ils en train de mieux exploiter les services cloud pour contourner les protections traditionnelles ?

Faut-il repenser la manière dont les plateformes collaboratives comme GitHub gèrent le partage de fichiers et de code ?

Voir aussi :

GitHub est victime de pirates ; les certificats de signature de code des applications GitHub Desktop et Atom ont été dérobés

GitHub : des cybercriminels ont volé les informations de connexion de 100 000 comptes d'utilisateurs de NPM, en utilisant des jetons d'utilisateur OAuth