Malvertising : GitHub, Dropbox et Discord utilisés pour infecter un million d’appareils
I had a bad stream
Microsoft a découvert fin 2024 une campagne de « malvertising » utilisant des sites de streaming vidéo pour télécharger des malwares sur GitHub, Dropbox ou encore Discord.
L'équipe de recherche Microsoft Threat Intelligence explique dans un billet de blog publié jeudi 6 mars qu'elle a découvert que la plateforme d'hébergement et de versioning GitHub a été utilisée par des pirates pour déposer des malwares sur au moins un million d'appareils.
Selon les chercheurs, GitHub était la principale plateforme utilisée pour propager les malwares, mais elle n'était pas la seule : Discord et Dropbox aussi. Les utilisateurs étaient redirigés vers ces malwares par des plateformes de streaming illégales qui incluaient sur les vidéos non pas, comme habituellement, des publicités, mais une campagne de « malvertising », cette technique qui consiste à utiliser la pub pour propager des virus.
Plusieurs couches
Ils expliquent que les dépôts GitHub n'étaient pas utilisés pour stocker des virus en tant que tel, mais des exécutables qui déployaient d'autres fichiers et scripts malveillants. Ces fichiers étaient utilisés pour collecter des informations sur le système sur lequel ils étaient installés, comme la taille de la mémoire, la résolution de l'écran, le système d'exploitation et les chemins d'accès de l'utilisateur. Puis ils configuraient d'autres malwares et scripts pour « exfiltrer les documents et données de l'hôte compromis » et des techniques d' « évasion » pour contourner de potentiels systèmes de sécurité en place.
Une cascade de redirections
Avant d'être dirigés vers ces fichiers hébergés sur GitHub, les utilisateurs passaient par une série d'autres redirections mise en place par les pirates pour obfusquer le lien entre les sites de streaming illégaux et les dépôts GitHub.
Le premier lien était inclus directement dans l'iframe de la vidéo du streaming utilisée pour générer des revenus de paiement aux clics ou aux vues. « Ces redirections acheminaient ensuite le trafic vers un ou deux autres redirections malveillantes, qui menaient finalement à un autre site web, tel qu'un site de logiciels malveillants ou d'escroquerie à l'assistance technique, qui redirigeait ensuite vers GitHub », explique Microsoft.
Ensuite, en fonction des données collectées sur l'appareil, étaient donc installés des malwares. La plupart du temps, Lumma Stealer ou une version mise à jour de Doenerium était installé. Les chercheurs expliquent que le malware utilisait soit des binaires, soit des scripts « living-off-the-land ». Ceux-ci se servent d'outils déjà présents dans l'environnement, comme PowerShell.exe, MSBuild.exe et RegAsm.exe, pour mener à bien leur attaque.
Microsoft indique que les dépôts GitHub malveillants ont depuis été supprimés.
Commentaires (6)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 10/03/2025 à 17h11
Le 11/03/2025 à 02h41
Le 11/03/2025 à 09h56
Je suis par contre surpris que dans un environnement Windows, un téléchargement depuis Internet puisse se finir par l'exécution du logiciel chargé sans autorisation explicite de l'utilisateur.
@jeje07bis : github est ici utilisé uniquement comme espace de stockage en ligne d'un logiciel qui permettait lui-même de charger plus tard le malware. Dropbox est d'ailleurs aussi cité.
Le 10/03/2025 à 17h29
Le 11/03/2025 à 10h23
Le 11/03/2025 à 10h36
Rien n'indique que le problème était Windows dans ces attaques, y compris dans le papier de l'équipe de recherche, mais j'ai peut-être raté un point, n'étant pas utilisateur de cet environnement.