O campanie avansată de malware, denumită GPUGate, vizează companii din sectorul IT și dezvoltare software în Europa de Vest, folosind reclame plătite pe motoarele de căutare și linkuri manipulate care par să provină de pe platforme de încredere, precum GitHub.
Cercetătorii Arctic Wolf au identificat că atacatorii încorporează un commit GitHub fals într-un URL, care redirecționează utilizatorii către site-uri controlate de hackeri, cum este domeniul „gitpage[.]app”, scrie The Hacker News.
Chiar dacă linkul pare să conducă la un repository legitim, el ascunde descărcarea unui fișier malițios, făcând campania dificil de detectat.
Prima etapă implică instalarea unui fișier Microsoft Software Installer (MSI) de 128 MB, care, datorită dimensiunii, ocolește majoritatea mediilor de securitate online.
Se folosesc tehnici avansate de evitare a detectării
Malware-ul utilizează un mecanism de decriptare dependent de GPU: pe sistemele fără plăci grafice reale, fișierul rămâne criptat, ceea ce îl face invizibil în mediile virtuale sau sandbox folosite de cercetătorii în securitate.
În plus, executabilul include fișiere „ștanțate” și se oprește automat dacă GPU-ul nu este detectat sau numele dispozitivului are mai puțin de 10 caractere, complicând analiza.
Ulterior, malware-ul rulează un script Visual Basic care lansează un PowerShell cu privilegii administrative, configurează excluderi pentru Microsoft Defender, setează sarcini programate pentru persistență și extrage fișiere dintr-un ZIP malițios.
Scopul final este furtul de informații și instalarea unor payload-uri secundare, în timp ce se evită detectarea.
Comentariile în limba rusă din script sugerează implicarea unor atacatori nativi ruși. Analizele indică și o posibilă extensie cross-platform, implicând stealerul Atomic pentru macOS (AMOS).
Campaniile conexe, dar și riscurile pentru organizații
Experții Acronis au raportat evoluția campaniei ConnectWise ScreenConnect, care folosește software-ul de acces la distanță pentru a instala AsyncRAT, PureHVNC RAT și un RAT customizat bazat pe PowerShell.
Metoda folosită, un ClickOnce runner installer fără configurație încorporată, permite descărcarea componentelor la rulare, reducând eficiența metodelor tradiționale de detectare statică.
Campania GPUGate demonstrează cum atacatorii combină ingineria socială cu exploatarea infrastructurii aparent legitime pentru a ocoli mecanismele de securitate și a compromite organizațiile IT.
Experții recomandă, așadar, vigilență sporită la linkurile din reclame și verificarea atentă a surselor înainte de descărcarea oricărui software, chiar dacă acesta pare legitim.
Prin sofisticarea tehnicilor folosite, GPUGate evidențiază cât de complexă a devenit amenințarea cibernetică pentru companiile IT și importanța unor măsuri proactive de protecție.