Microsoft ha descubierto una sofisticada campaña de malvertising que ha comprometido aproximadamente un millón de dispositivos Windows desde diciembre de 2024. Los atacantes implementaron un esquema multifase para robar información confidencial, credenciales y activos criptográficos mediante la distribución de anuncios maliciosos en plataformas de streaming ilegales.

Anatomía del ataque: Una cadena de infección compleja

La operación se inició mediante la inserción de anuncios maliciosos en sitios de streaming no autorizados como movies7[.]net y 0123movie[.]art. Los atacantes emplearon redireccionadores especializados que monetizaban el tráfico a través de redes publicitarias y sistemas de pago legítimos, aprovechando la infraestructura establecida para maximizar el alcance de la campaña.

Infraestructura y técnicas de propagación

Los ciberdelincuentes utilizaron elementos iframe maliciosos que desencadenaban una serie de redirecciones a través de sitios intermediarios, incluyendo páginas falsas de soporte técnico. La cadena de infección culminaba en repositorios de GitHub que alojaban diversos componentes maliciosos, mientras que Discord y Dropbox servían como plataformas adicionales de distribución.

Proceso de infección y evasión de defensas

El ataque se ejecutaba en múltiples etapas, comenzando con la recopilación de información técnica del dispositivo víctima. La desactivación del software de seguridad y el establecimiento de conexiones con servidores de comando y control precedían a la instalación del malware NetSupport. Un aspecto particularmente preocupante fue el uso de 12 certificados digitales legítimos, posteriormente revocados por Microsoft.

Impacto y alcance del ataque

La campaña afectó indiscriminadamente a usuarios particulares y organizaciones, utilizando principalmente el stealer Lumma y su variante de código abierto Doenerium. El malware se enfocaba en la extracción de datos del navegador, incluyendo cookies, contraseñas e historial de navegación, además de buscar específicamente carteras de criptomonedas como Ledger Live, Trezor Suite y KeepKey.

Este incidente resalta la creciente sofisticación de los ciberdelincuentes y la importancia de implementar medidas de seguridad robustas. Se recomienda encarecidamente evitar sitios web no confiables, mantener actualizado el software de seguridad y activar la autenticación de múltiples factores en servicios críticos. La vigilancia continua y la adopción de prácticas de seguridad proactivas son fundamentales para protegerse contra estas amenazas emergentes.