Se você visitar um site que hospeda transmissões de vídeo piratas, é melhor estar preparado para aceitar os riscos. Os proprietários de 1 milhão de dispositivos afetados por malware proveniente desses sites podem não ter considerado isso. A Microsoft escreveu que sua equipe de análise de ameaças detectou uma campanha publicitária maliciosa em grande escala em dezembro de 2024, afetando quase um milhão de dispositivos em todo o mundo.

A empresa rastreou dois sites de streaming ilegais – movies7 e 0123movie – para redirecionadores de malvertising incorporados. Os invasores injetaram anúncios em vídeos hospedados no site. Esses anúncios geram receita de pagamento por visualização ou pagamento por clique da plataforma de malvertising e, posteriormente, direcionam o tráfego por meio de um ou dois redirecionadores maliciosos adicionais.

As vítimas são eventualmente direcionadas para outro site, como um site fraudulento de suporte técnico, e depois redirecionadas para o GitHub.

O repositório GitHub, que abrigava o malware usado para implantar mais arquivos e scripts maliciosos, foi removido. Depois que alguém baixa o malware, ele é usado para coletar informações do sistema e implantar cargas de segundo estágio para roubar documentos e dados.

A carga útil do script do PowerShell de terceiro estágio baixa o Trojan de acesso remoto (RAT) do NetSupport do servidor de comando e controle e define a persistência no registro. Os RATs podem fornecer malware de roubo de informações Lumma ou versões atualizadas do software de roubo de informações Doenerium.

O malware também permite que os invasores monitorem as atividades de navegação da vítima e até mesmo interajam com navegadores ativos, incluindo Firefox, Chrome e Edge.

A carga útil do primeiro estágio é assinada digitalmente usando um certificado recém-criado e contém alguns arquivos legítimos para ocultar sua verdadeira natureza. Foram identificados um total de 12 certificados diferentes, todos posteriormente revogados.

Embora o GitHub seja a principal plataforma para entregar essas cargas, a Microsoft também descobriu que uma carga estava hospedada no Discord e outra no Dropbox. Tal como acontece com o GitHub, as páginas da web que hospedam malware nessas plataformas foram removidas.

A Microsoft escreveu que a campanha foi indiscriminada e afetou dispositivos de consumo e empresariais. A Microsoft também observou que o software Microsoft Defender para Windows é capaz de detectar e sinalizar malware usado em ataques.