Un milione di PC colpiti da campagna pubblicitaria malevola: Microsoft la blocca

Microsoft ha recentemente annunciato di aver neutralizzato una vasta operazione informatica che, attraverso annunci pubblicitari malevoli inseriti in video presenti su siti illegali di streaming, ha compromesso quasi un milione di computer in tutto il mondo. L'azienda statunitense ha individuato e rimosso diversi repository GitHub utilizzati dagli attaccanti per diffondere malware, interrompendo così il ciclo di infezione e limitando ulteriori danni.

Secondo quanto riportato dal colosso, l'attacco è stato identificato per la prima volta agli inizi di dicembre 2024, quando sono stati notati comportamenti anomali su numerosi dispositivi che scaricavano software dannoso proprio dai repository ospitati sulla piattaforma GitHub. L'indagine successiva ha permesso di scoprire come gli hacker avessero sfruttato video manomessi ad-hoc, inserendo al loro interno annunci pubblicitari ingannevoli che reindirizzavano gli utenti verso pagine web controllate dagli stessi criminali informatici.

Microsoft scopre e neutralizza una campagna di malvertising

La dinamica dell'attacco prevedeva inizialmente il reindirizzamento degli utenti verso siti intermedi, spesso camuffati da servizi di supporto tecnico o altri servizi apparentemente benefici. Da qui, le vittime venivano poi indirizzate ai repository GitHub compromessi, dove avveniva il download automatico del malware. Una volta installato sul dispositivo bersaglio, il software malevolo raccoglieva informazioni dettagliate sul sistema infettato, come risoluzione dello schermo, memoria disponibile, sistema operativo e percorsi utente.

L'attacco, nelle fasi successive, prevedeva il download di ulteriori payload più sofisticati. Tra questi figurano strumenti come NetSupport RAT, un trojan per il controllo remoto che permette agli attaccanti di mantenere l'accesso persistente al dispositivo compromesso. Inoltre, sono stati identificati anche malware specializzati nel furto di informazioni sensibili come Lumma e Doenerium, capaci di sottrarre credenziali salvate nei browser e altri dati personali degli utenti coinvolti.

Gli esperti Microsoft hanno evidenziato la complessità della catena d'infezione: alcuni payload erano script PowerShell progettati per aggirare le difese antivirus integrando esclusioni specifiche per Windows Defender o abilitando funzioni avanzate di debug remoto nei browser delle vittime. Altri payload erano invece eseguibili AutoIt opportunamente rinominati per eludere i controlli standard dei sistemi operativi. L'operazione è stata attribuita da Microsoft al gruppo Storm-0408, una sigla utilizzata dall'azienda per identificare attori criminali impegnati nella distribuzione sistematica di malware tramite phishing, ottimizzazione fraudolenta dei motori di ricerca (SEO) e campagne pubblicitarie malevole. L'attacco ha colpito in modo indiscriminato sia utenti privati che aziende appartenenti a diversi settori industriali.

L'intervento tempestivo degli analisti Microsoft ha permesso non solo di bloccare la diffusione del malware ma anche di ottenere preziose informazioni sulle tecniche adottate dai criminali informatici. La società invita pertanto gli utenti a prestare attenzione ai siti visitati e a mantenere aggiornate le proprie difese digitali per contrastare efficacemente minacce simili in futuro.