Theo Microsoft, chiến dịch này không phân biệt đối tượng, tấn công cả thiết bị cá nhân lẫn doanh nghiệp. Đáng chú ý, phần mềm Microsoft Defender trên Windows có khả năng phát hiện và ngăn chặn mã độc liên quan đến vụ việc.
Vào tháng 12 năm 2024, Microsoft đã phát hiện một chiến dịch quảng cáo độc hại quy mô lớn, ảnh hưởng đến gần 1 triệu thiết bị trên toàn thế giới. Theo nhóm phân tích mối đe dọa của Microsoft, nguồn gốc của cuộc tấn công bắt nguồn từ hai trang web phát video trực tuyến bất hợp pháp nổi tiếng là movies7 và 0123movie.
Các chuyên gia cho biết, những kẻ tấn công đã khéo léo nhúng các quảng cáo chứa mã độc vào video trên hai trang web này. Những quảng cáo này không chỉ mang lại doanh thu từ lượt xem hoặc lượt nhấp chuột thông qua các nền tảng quảng cáo độc hại, mà còn dẫn người dùng qua nhiều lớp chuyển hướng nguy hiểm. Cuối cùng, nạn nhân bị đưa đến các trang web lừa đảo, chẳng hạn như trang hỗ trợ kỹ thuật giả mạo, trước khi bị đẩy tiếp tới các kho lưu trữ trên GitHub.
![Cảnh báo: Gần 1 triệu thiết bị nhiễm mã độc từ các trang web phát video lậu]( "Canh bao: Gan 1 trieu thiet bi nhiem ma doc tu cac trang web phat video lau")
Các kho lưu trữ này – hiện đã bị gỡ bỏ – chứa phần mềm độc hại dùng để triển khai các tệp và tập lệnh nguy hiểm. Khi người dùng vô tình tải xuống, mã độc sẽ thu thập thông tin hệ thống và cài đặt thêm các giai đoạn tấn công khác nhằm đánh cắp tài liệu, dữ liệu cá nhân. Đỉnh điểm, một tập lệnh PowerShell ở giai đoạn ba sẽ tải về trojan truy cập từ xa NetSupport (RAT) từ máy chủ điều khiển, thiết lập khả năng "bám trụ" trong hệ thống qua sổ đăng ký. Loại mã độc này cho phép kẻ tấn công theo dõi hoạt động trình duyệt của nạn nhân, thậm chí can thiệp trực tiếp vào các trình duyệt như Firefox, Chrome hay Edge. Ngoài ra, nó còn triển khai các phần mềm đánh cắp thông tin như Lumma hoặc phiên bản mới của Doenerium.
![Cảnh báo: Gần 1 triệu thiết bị nhiễm mã độc từ các trang web phát video lậu 2]( "Canh bao: Gan 1 trieu thiet bi nhiem ma doc tu cac trang web phat video lau 2")
Để ngụy trang, các mã độc giai đoạn đầu được ký bằng chứng chỉ số mới tạo và đi kèm nhiều tệp hợp lệ nhằm qua mặt người dùng. Microsoft đã xác định 12 chứng chỉ khác nhau liên quan đến chiến dịch này, tất cả hiện đã bị thu hồi. Dù GitHub là nền tảng chính để phát tán mã độc, Microsoft cũng phát hiện một số tải trọng được lưu trữ trên Discord và Dropbox, nhưng những nội dung này cũng đã bị xóa.
Theo Microsoft, chiến dịch này không phân biệt đối tượng, tấn công cả thiết bị cá nhân lẫn doanh nghiệp. Đáng chú ý, phần mềm Microsoft Defender trên Windows có khả năng phát hiện và ngăn chặn mã độc liên quan đến vụ việc.
Các chuyên gia khuyến cáo người dùng nên cẩn trọng khi truy cập các trang web phát video lậu, bởi rủi ro nhiễm mã độc hoàn toàn có thể xảy ra nếu không có biện pháp bảo vệ phù hợp.