.
Uma ampla visão geral dos quatro estágios.
Crédito: Microsoft
A campanha direcionou “quase” 1 milhão de dispositivos pertencentes a indivíduos e a uma ampla gama de organizações e indústrias. A abordagem indiscriminada indica que a campanha foi oportunista, o que significa que tentou prender alguém, em vez de mirar em certos indivíduos, organizações ou indústrias. O GitHub era a plataforma usada principalmente para hospedar os estágios maliciosos da carga útil, mas também foram usados Discord e Dropbox.
O malware localizou recursos no computador infectado e os enviou ao servidor C2 do atacante. Os dados exfiltrados incluíram os seguintes arquivos do navegador, que podem armazenar cookies de login, senhas, histórias de navegação e outros dados sensíveis.
- \ AppData \ Roaming \ Mozilla \ Firefox \ Perfis \
.DeFault-Release \ Cookies.sqlite - \ AppData \ Roaming \ Mozilla \ Firefox \ Perfis \
.DeFault-Release \ formhistory.sqlite - \ AppData \ Roaming \ Mozilla \ Firefox \ Perfis \
.Default-Release \ Key4.db - \ AppData \ Roaming \ Mozilla \ Firefox \ Perfis \
.DeFault-Release \ Logins.json - \ AppData \ Local \ Google \ Chrome \ Dados do Usuário \ Dados Padrão \ Web
- \ AppData \ Local \ Google \ Chrome \ Dados do Usuário \ Dados de Login de Padrão \ Login
- \ AppData \ Local \ Microsoft \ Edge \ Dados do Usuário \ Dados de Login de Padrão \ Login
Os arquivos armazenados no serviço OneDrive em nuvem da Microsoft também foram direcionados. O malware também verificou a presença de carteiras de criptomoeda, incluindo Ledger Live, Trezor Suite, KeepKey, BCVault, OneKey e Bitbox, “indicando potencial roubo de dados financeiros”, disse Microsoft.
A Microsoft disse que suspeita que os sites que hospedam anúncios maliciosos transmitiam plataformas que fornecem conteúdo não autorizado. Dois dos domínios são filmes7[.]rede e 0123Movie[.]arte.
O Microsoft Defender agora detecta os arquivos usados no ataque e é provável que outros aplicativos de defesa de malware façam o mesmo. Qualquer pessoa que pense que pode ter sido alvo pode verificar os indicadores de compromisso no final do Microsoft Post. A postagem inclui as etapas que os usuários podem tomar para impedir a queda de presas a campanhas de malvertismo semelhantes.
.
