Als u een website gaat bezoeken die illegale videostreams host, kunt u maar beter bereid zijn de risico's te accepteren. De eigenaren van de 1 miljoen apparaten die getroffen zijn door malware afkomstig van deze sites hebben hier misschien niet over nagedacht. Microsoft schreef dat zijn dreigingsanalyseteam in december 2024 een grootschalige kwaadaardige advertentiecampagne heeft gedetecteerd, die bijna een miljoen apparaten wereldwijd trof.

Het bedrijf traceerde twee illegale streamingsites – movies7 en 0123movie – naar ingebedde malvertising-redirectors. De aanvallers injecteerden advertenties in video's die op de website werden gehost. Deze advertenties genereren pay-per-view- of pay-per-click-inkomsten via het malvertisingplatform en leiden vervolgens verkeer via een of twee extra kwaadaardige omleidingen.

Slachtoffers worden uiteindelijk doorgestuurd naar een andere website, zoals een oplichtingssite voor technische ondersteuning, en vervolgens doorgestuurd naar GitHub.

De GitHub-repository, waarin de malware was ondergebracht die werd gebruikt om meer kwaadaardige bestanden en scripts te implementeren, is nu verwijderd. Zodra iemand de malware downloadt, wordt deze gebruikt om systeeminformatie te verzamelen en tweede fase-payloads in te zetten om documenten en gegevens te stelen.

De derde fase van het PowerShell-script downloadt vervolgens de NetSupport Remote Access Trojan (RAT) van de command-and-control-server en stelt persistentie in het register in. RAT's kunnen Lumma-malware voor het stelen van informatie of bijgewerkte versies van Doenerium-software voor het stelen van informatie leveren.

De malware stelt aanvallers ook in staat de browseractiviteiten van het slachtoffer te volgen en zelfs te communiceren met actieve browsers, waaronder Firefox, Chrome en Edge.

De payload van de eerste fase is digitaal ondertekend met een nieuw gemaakt certificaat en bevat enkele legitieme bestanden om de ware aard ervan te verbergen. Er werden in totaal twaalf verschillende certificaten geïdentificeerd, die later allemaal werden ingetrokken.

Hoewel GitHub het primaire platform is voor het leveren van deze payloads, ontdekte Microsoft ook dat één payload werd gehost op Discord en een andere op Dropbox. Net als bij GitHub zijn webpagina's die malware hosten op deze platforms verwijderd.

Microsoft schreef dat de campagne willekeurig was en zowel consumenten- als bedrijfsapparaten trof. Microsoft merkte ook op dat Microsoft Defender-software voor Windows malware die bij aanvallen wordt gebruikt, kan detecteren en markeren.