O campanie avansată de malware, denumită GPUGate, a fost identificată recent ca o amenințare asupra companiilor din sectorul IT și dezvoltare software din Europa de Vest. Using tactics precum reclame plătite pe motoarele de căutare și linkuri manipulate înplatitudine, atacatorii vizează exploatarea încrederii în platforme de încredere, precum GitHub, pentru a lansa atacuri sofisticate. Această campanie ilustrează complexitatea tacticilor moderne de cyber-espionaj și furt de informații, punând în lumină importanța măsurilor proactive de securitate.

Se folosesc tehnici avansate de evitare a detectării

Cercetătorii de la Arctic Wolf au descoperit că atacatorii încorporează commit-uri false pe GitHub într-un URL, care redirecționează spre domenii controlate de hackerii, precum „gitpage[.]app”. Deși linkurile par să conducă către depozite legitime, ele ascund descărcări de fișiere malițioase, făcând campania dificil de identificat.

Prima etapă a intruziunii implică instalarea unui fișier MSI de 128 MB, conceput pentru a ocoli majoritatea sistemelor de securitate online, datorită dimensiunii sale mari.

Tehnicile avansate de evaziune a detectării

Malware-ul utilizează un mecanism de decriptare dependent de GPU. În cazul sistemelor fără plăci grafice reale, fișierul rămâne criptat și invizibil în mediile de analiză sandbox.

Executabilul include fișiere „ștanțate” și se oprește autonom dacă GPU-ul nu este detectat sau dacă numele dispozitivului are mai puțin de 10 caractere, îngreunând analiza tehnică.

Ulterior, malware-ul rulează un script Visual Basic ce lansează PowerShell cu privilegii administrative. Acest proces configurează excluderi pentru Microsoft Defender, setează sarcini programate pentru persistenta și extrage fișiere nesigure din arhive ZIP malițioase.

Obiectivul final este furtul de date și instalarea payload-urilor secundare, în timp ce sistemele de securitate sunt evitabile. Comentariile în limba rusă din script sugerează o posibilă implicare a unor atacatori nativi ruși. Analizele indică și o extensie cross-platform, implicând stealerul Atomic pe macOS.

Campaniile conexe și riscurile pentru organizații

Experții de la Acronis au raportat evoluția campaniei ConnectWise ScreenConnect. Aceasta folosește software de acces de la distanță pentru a instala troieni precum AsyncRAT, PureHVNC RAT și un RAT customizat pe bază de PowerShell.

Metoda de distribuție este un ClickOnce installer fără configurație predefinită, ceea ce limitează eficiența detectării automate static. Aceste tehnici arată cum atacatorii combina ingineria socială și infrastructura aparent legitimă pentru a compromite organizațiile IT.

Recomandări pentru organizații

Specialiștii recomandă verificarea meticuloasă a linkurilor din reclame și examinarea surselor înainte de descărcare. Măsurile recomandate sunt:

– Evitarea clicurilor pe reclame suspecte.
– Verificarea surselor de descărcare.
– Menținerea actualizată a sistemelor și a soluțiilor de securitate.
– Monitoring continuu pentru semne de compromitere.

Concluzie

Campania GPUGate evidențiază importanța unei supravegheri atente și a protecției proactive pentru organizațiile active în sectorul IT. Este esențială informarea continuă asupra noilor tehnici malware pentru a evita incidentele de securitate.