En exploitant des publicités intégrées à des vidéos sur des sites de streaming illégaux, Storm-0408 a orchestré une campagne sophistiquée de malvertising touchant plus d’un million d’appareils. Microsoft vient de publier un rapport détaillé de cette campagne massive qui rappelle à tous les risques majeurs véhiculés par les sites de piratage de films et retransmissions sportives.
L’attaque aurait commencé dès décembre sur des sites illégaux de streaming pirate (notamment de streaming sportif et de films) où les cybercriminels ont intégré des redirecteurs malveillants dans les publicités affichées pendant la lecture des vidéos. Lorsqu’un utilisateur clique sur ces publicités trompeuses (pensant souvent en réalité simplement lancer le streaming), il est redirigé à travers plusieurs sites intermédiaires vers des dépôts malveillants hébergés principalement sur GitHub, mais aussi sur Discord et Dropbox.
« Les sites de streaming intégraient des redirecteurs de malvertising directement placés dans les contenus vidéos pour générer des revenus par vue ou par clic », explique l’équipe de Microsoft Threat Intelligence dans son rapport technique.
L’attaque se déroule en quatre phases distinctes :
– Phase initiale : Téléchargement d’un logiciel malveillant depuis GitHub qui sert de « dropper » pour les étapes suivantes
– Deuxième phase : Collecte d’informations système (taille de la mémoire, détails graphiques, résolution d’écran, système d’exploitation) et exfiltration de ces données
– Troisième phase : Déploiement de scripts PowerShell ou d’exécutables qui téléchargent des charges utiles supplémentaires
– Dernière phase : Installation de voleurs d’informations (spywares) et de logiciels de contrôle à distance
Parmi les logiciels malveillants déployés à l’occasion de cette vaste campagne figurent notamment :
– Lumma Stealer : Un malware qui extrait les identifiants de connexion et les données des navigateurs
– Doenerium (version mise à jour) : Un voleur d’informations avancé
– NetSupport RAT : Un outil d’accès à distance détourné à des fins malveillantes
Pour échapper à la détection, Storm-0408 a mis en œuvre des méthodes élaborées, notamment en hébergeant des charges utiles malveillantes sur des plateformes cloud légitimes. Les attaquants ont également utilisé des binaires et scripts « living-off-the-land » (LOLBAS) tels que PowerShell.exe, MSBuild.exe et RegAsm.exe pour exécuter leurs commandes et exfiltrer des données sans déclencher d’alarmes de sécurité.
Recommandations de sécurité
Face à cette menace massive, Microsoft a pris plusieurs mesures immédiates comme la suppression des dépôts malveillants hébergés sur GitHub, Discord et Dropbox, la révocation de 12 certificats numériques compromis utilisés pour signer les logiciels malveillants et la publication de détails techniques et d’indicateurs de compromission pour aider les organisations à se protéger (Malvertising campaign leads to info stealers hosted on GitHub)
Parallèlement, Microsoft rappelle aux utilisateurs de prendre des mesures proactives pour sécuriser leurs systèmes :
- Éviter les sites de streaming illégaux et les publicités en ligne douteuses
- Utiliser des outils antivirus et de protection des terminaux réputés (rappelons que Windows 11 est efficacement protégé en standard par son Windows Defender)
- Surveiller les connexions sortantes inhabituelles qui pourraient signaler une exfiltration de données
- Activer l’authentification multifactorielle (MFA) pour protéger les comptes contre le vol d’identifiants
Une vaste campagne qui rappelle les risques induits par les sites de piratage et de streaming qui demeurent les terrains de chasse de prédilection des cybercriminels.
À lire également :
Les sites de streaming vidéo gratuits : temple des cybermenaces
Pourquoi le streaming constitue-t-il un danger en matière de Cybersécurité ?
2025 : Quel avenir Tech pour la diffusion des événements sportifs ?
La sécurité, une responsabilité partagée…