מיקרוסופט הסירה מאגרי GitHub אשר שימשו במתקפת Malvertising – פרסום מקוון שקרי המכוון להפצת נוזקות. המתקפה השפיעה על כמיליון מחשבים ברחבי העולם. מנתחי איומי הסייבר של מיקרוסופט זיהו את המתקפות הללו בתחילת דצמבר 2024, לאחר שהבחינו כי מחשבים רבים מורידים נוזקות מ- GitHub repos, נוזקות ששימשו מאוחר יותר לפריסת שורה של תוכנות זדוניות אחרות במערכות המחשוב שנפגעו.
לאחר ניתוח מתקפת הסייבר, גילו מיקרוסופט שפושעי הסייבר החדירו מודעות לסרטונים באתרי סטרימינג פיראטיים לא חוקיים, אשר הפנו קורבנות פוטנציאליים למאגרים זדוניים של GitHub שבשליטתם: "אתרי הסטרימינג הללו הטמיעו קישורים במסגרות הסרטים כדי להפיק הכנסה של תשלום לפי צפייה או תשלום לפי קליק. קישורים אלו ניתבו לאחר מכן את תעבורת הקורבנות והובילו בסופו של דבר לאתר אחר, כגון אתר נוזקה או הונאה של תמיכה טכנית, אשר הפנה מחדש אל GitHub." סרטוני הפרסום הפנו משתמשים למאגרי GitHub שהדביקו אותם בנוזקות ורוגלות שתפקידן לאסוף מידע אודות מערכת המחשוב של הקורבנות (גודל זיכרון, פרטים גרפיים, רזולוציית מסך, מערכת הפעלה (OS) ונתיבי משתמש) ולאחר מכן, לגנוב את הנתונים שנאספו תוך פריסת נוזקות נוספות בשלב שני. לאחר מכן, בשלב שלישי מוריד סקריפט של PowerShell את הטרויאני לגישה מרחוק של NetSupport (RAT) משרת פקודה ושליטה ומבסס התמדה במערכת המחשוב הנגועה. לאחר שהנוזקה מופעלת, היא פורסת את תוכנת גניבת המידע Lumma ואת תוכנת הקוד הפתוח Doenerium infostealer כדי לגנוב את נתוני המשתמש ואת אישורי הדפדפן שלו (שמות משתמשים וסיסמאות השמורים בדפדפן). בשלב האחרון של המתקפה משתמשים מיטענים של AutoIt ב- RegAsm או ב- PowerShell כדי לפתוח קבצים, לאפשר איתור באגים של הדפדפן ולגנוב מידע נוסף.
בעוד GitHub הייתה הפלטפורמה העיקרית לאירוח נוזקות שהופעלו במהלך השלב הראשון של הקמפיין, צפו Microsoft Threat Intelligence גם בנוזקות שאוחסנו ב- Dropbox וב- Discord. אנשי הסייבר של מיקרוסופט ציינו כי המעקב אחר מתקפת הסייבר הזו התבצע תחת שם המטריה Storm-0408 המשמש כדי לעקוב אחר גורמי איומי סייבר רבים הקשורים לגישה מרחוק או לנוזקות גניבת מידע המשתמשות בדיוג, אופטימיזציה למנועי חיפוש (SEO) או Malvertising כדי להפיץ תוכנות זדוניות. מיקרוסופט טוענים כי מתקפת סייבר זו השפיעה על מגוון רחב של ארגונים ותעשיות, כולל מערכות מחשוב ארגוניות ופרטיות – מה שמדגיש האופי חסר ההבחנה של המתקפה.
