Malvertising : GitHub, Dropbox et Discord utilisés pour infecter un million d’appareils

I had a bad stream

Microsoft a découvert fin 2024 une campagne de « malvertising » utilisant des sites de streaming vidéo pour télécharger des malwares sur GitHub, Dropbox ou encore Discord.

Martin Clavey

Le 10 mars à 15h29

3 min

Sécurité

L'équipe de recherche Microsoft Threat Intelligence explique dans un billet de blog publié jeudi 6 mars qu'elle a découvert que la plateforme d'hébergement et de versioning GitHub a été utilisée par des pirates pour déposer des malwares sur au moins un million d'appareils.

Selon les chercheurs, GitHub était la principale plateforme utilisée pour propager les malwares, mais elle n'était pas la seule : Discord et Dropbox aussi. Les utilisateurs étaient redirigés vers ces malwares par des plateformes de streaming illégales qui incluaient sur les vidéos non pas, comme habituellement, des publicités, mais une campagne de « malvertising », cette technique qui consiste à utiliser la pub pour propager des virus.

Plusieurs couches

Ils expliquent que les dépôts GitHub n'étaient pas utilisés pour stocker des virus en tant que tel, mais des exécutables qui déployaient d'autres fichiers et scripts malveillants. Ces fichiers étaient utilisés pour collecter des informations sur le système sur lequel ils étaient installés, comme la taille de la mémoire, la résolution de l'écran, le système d'exploitation et les chemins d'accès de l'utilisateur. Puis ils configuraient d'autres malwares et scripts pour « exfiltrer les documents et données de l'hôte compromis » et des techniques d' « évasion » pour contourner de potentiels systèmes de sécurité en place.

Une cascade de redirections

Avant d'être dirigés vers ces fichiers hébergés sur GitHub, les utilisateurs passaient par une série d'autres redirections mise en place par les pirates pour obfusquer le lien entre les sites de streaming illégaux et les dépôts GitHub.

Le premier lien était inclus directement dans l'iframe de la vidéo du streaming utilisée pour générer des revenus de paiement aux clics ou aux vues. « Ces redirections acheminaient ensuite le trafic vers un ou deux autres redirections malveillantes, qui menaient finalement à un autre site web, tel qu'un site de logiciels malveillants ou d'escroquerie à l'assistance technique, qui redirigeait ensuite vers GitHub », explique Microsoft.

Ensuite, en fonction des données collectées sur l'appareil, étaient donc installés des malwares. La plupart du temps, Lumma Stealer ou une version mise à jour de Doenerium était installé. Les chercheurs expliquent que le malware utilisait soit des binaires, soit des scripts « living-off-the-land ». Ceux-ci se servent d'outils déjà présents dans l'environnement, comme PowerShell.exe, MSBuild.exe et RegAsm.exe, pour mener à bien leur attaque.

Microsoft indique que les dépôts GitHub malveillants ont depuis été supprimés.

Commentaires (6)

Abonnez-vous pour prendre part au débat

Déjà abonné ? Se connecter

Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.

Accédez en illimité aux articles

Profitez d’un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

elende Premium

Le 10/03/2025 à 17h11

L'utilisateur devait faire une action sur github pour que le malware s'installe (genre télécharger le plugin, ou autre)? Ou ça se faisait automatiquement sans que l'utilisateur s'en aperçoive?

jeje07bis

Le 11/03/2025 à 02h41

Bonne question. J'aimerais bien savoir parce que je suis bon client sur github. J'ai pas mal d'utilitaires pris dessus

fred42 Premium

Le 11/03/2025 à 09h56

On n'a aucune info là-dessus, pas plus dans le papier de Microsoft.
Je suis par contre surpris que dans un environnement Windows, un téléchargement depuis Internet puisse se finir par l'exécution du logiciel chargé sans autorisation explicite de l'utilisateur.

@jeje07bis : github est ici utilisé uniquement comme espace de stockage en ligne d'un logiciel qui permettait lui-même de charger plus tard le malware. Dropbox est d'ailleurs aussi cité.

War Machine Premium

Le 10/03/2025 à 17h29

Donc les machines visées étaient exclusivement des PC Windows ?

Bylon

Le 11/03/2025 à 10h23

Powershell et exe. La réponse semble claire. Donc c'est "Darwin effect" pour ceux qui continuent à utiliser cet O.S.

fred42 Premium

Le 11/03/2025 à 10h36

Tu peux expliquer ta conclusion ? (à partir de Donc).
Rien n'indique que le problème était Windows dans ces attaques, y compris dans le papier de l'équipe de recherche, mais j'ai peut-être raté un point, n'étant pas utilisateur de cet environnement.