Navegar por Internet parece algo seguro y rutinario, pero un simple clic en el anuncio equivocado puede meterte en un buen lío. Microsoft acaba de advertir sobre una campaña masiva de publicidad maliciosa que afectó a casi un millón de dispositivos en todo el mundo. Lo preocupante es que muchos usuarios ni siquiera se dieron cuenta de que habían sido atacados hasta que ya era demasiado tarde.
El equipo de analistas de amenazas de la empresa detectó este ataque en diciembre de 2024, cuando notaron que varios dispositivos estaban descargando malware desde repositorios de GitHub. Este software malicioso no solo infectaba los sistemas afectados, sino que también servía como puerta de entrada para más amenazas, convirtiendo a los dispositivos en parte de una red de ataques aún mayor.
Este tipo de ataque, conocido como malvertising, usa anuncios aparentemente legítimos para engañar a los usuarios y distribuir malware. Lo peor es que estos anuncios pueden aparecer en plataformas confiables, lo que los hace aún más difíciles de detectar.
Los investigadores de Microsoft descubrieron que los atacantes usaron sitios de streaming pirata para colar anuncios maliciosos en los videos. Sí, esos sitios donde la gente ve películas gratis terminaron siendo la puerta de entrada a un ataque bien elaborado.
Básicamente, los ciberdelincuentes incrustaron redireccionadores ocultos en los fotogramas de los videos. Cada vez que alguien hacía clic o simplemente veía la película, el anuncio los llevaba por una serie de redireccionamientos hasta terminar en un sitio peligroso, como páginas de malware, soporte técnico falso o incluso repositorios maliciosos en GitHub.
Una vez allí, las víctimas descargaban sin saberlo un malware que comenzaba a analizar su sistema. Este malware recopilaba información como el tamaño de la memoria, la resolución de pantalla, los detalles de la tarjeta gráfica y otros datos del dispositivo. Pero eso no era todo: mientras hacía este escaneo, descargaba más malware en segundo plano.
El ataque tenía varias fases. En la tercera etapa, un script de PowerShell descargaba un troyano de acceso remoto (RAT) llamado NetSupport, que permitía a los atacantes controlar la computadora de la víctima. Luego, también se instalaban otros programas maliciosos como Lumma y Doenerium, diseñados para robar contraseñas y datos personales directamente del navegador.
Etapas del ataque (Fuente: Microsoft)
En esta fase del ataque, si el malware descargado es un archivo ejecutable, las cosas se ponen aún más turbias. Primero, crea y ejecuta un archivo CMD, que a su vez suelta un intérprete de AutoIt (un lenguaje de automatización) camuflado con una extensión .com. Luego, este programa lanza otro archivo que puede soltar una nueva versión de AutoIt con una extensión .scr, mientras que un archivo JavaScript se encarga de mantener todo en marcha y asegurar que el malware siga activo incluso después de reiniciar la computadora.
En la etapa final, estas cargas maliciosas usan herramientas como RegAsm o PowerShell para abrir archivos, activar la depuración remota del navegador y extraer aún más información del sistema. En algunos casos, PowerShell también se usa para desactivar Windows Defender o descargar más malware, como NetSupport, que permite a los atacantes controlar el dispositivo de forma remota.
Aunque GitHub fue la principal plataforma donde los hackers alojaron estos archivos maliciosos, Microsoft también detectó que algunas de estas cargas se almacenaban en Dropbox y Discord, lo que demuestra lo fácil que es para los atacantes distribuir malware a través de servicios legítimos.
Microsoft rastrea esta actividad bajo el nombre Storm-0408, un grupo de ataques que involucra campañas de phishing, SEO malicioso y publicidad engañosa para distribuir malware de robo de información y acceso remoto. Lo preocupante es que este ataque no se dirigió a un sector en específico: afectó tanto a usuarios comunes como a empresas de diferentes industrias, lo que muestra lo indiscriminado y peligroso que puede ser el malvertising.
Si quieres conocer más detalles sobre cómo operó esta campaña, Microsoft ha publicado un informe con información técnica sobre cada fase del ataque y las herramientas utilizadas.
El malvertising no es solo un problema más de ciberseguridad, es una amenaza real que ha afectado a millones de personas en todo el mundo. Esta campaña, que infectó a más de un millón de computadoras, deja claro que nadie está completamente a salvo. Un simple clic en el anuncio equivocado puede ser suficiente para comprometer tu información. La buena noticia es que hay formas sencillas de protegerte:
Los ciberdelincuentes están siempre buscando nuevas formas de engañar, así que la mejor defensa es estar informado y tomar precauciones. No se trata de vivir con miedo, pero sí de navegar con inteligencia. Porque en Internet, hasta los anuncios pueden ser una trampa.