O campanie avansată de malware, denumită GPUGate, a fost identificată ca vizând companii din sectorul IT și dezvoltare software din Europa de Vest. Aceasta utilizează tehnici sofisticate, inclusiv reclame plătite pe motoarele de căutare, precum și linkuri manipulate care par să provină de la platforme de încredere, cum ar fi GitHub.

Cercetătorii de la Arctic Wolf au descoperit că atacatorii inseră un commit GitHub fals într-un URL care redirecționează utilizatorii către site-uri controlate de hackeri, precum domeniul „gitpage[.]app”. Deși linkul poate părea legitim, acesta maschează descărcarea unui fișier malițios, ceea ce îngreunează detectarea acestuia. Primul pas al atacului constă în instalarea unui fișier Microsoft Software Installer (MSI) de 128 MB, o dimensiune care îi permite să ocolească majoritatea sistemelor de securitate online.

Tehnici avansate de evitare a detectării

Malware-ul utilizează un mecanism de decriptare care depinde de GPU. În absența plăcilor grafice reale, fișierul rămâne criptat, ceea ce îl face invizibil în mediile virtuale sau sandbox folosite frecvent de experții în securitate. Executabilul include fișiere „ștanțate” și se oprește dacă nu detectează GPU, complicând astfel analiza.

După activare, malware-ul rulează un script Visual Basic, lansând un PowerShell cu privilegii administrative. Acesta configurează excluderi pentru Microsoft Defender, setează sarcini programate pentru persistență și extrage fișiere dintr-un ZIP malițios. Scopul final este furtul de informații și instalarea unor payload-uri secundare, evitând detectarea de către soluțiile de securitate.

Campanii conexe și riscurile pentru organizații

Experții de la Acronis au raportat evoluții în campania ConnectWise ScreenConnect, care utilizează software-ul de acces la distanță pentru a instala diferite tipuri de malware, inclusiv AsyncRAT și PureHVNC RAT. Această metodă permite descărcări ale componentelor în timpul rulării, permițând atacatorilor să ocolească metodele tradiționale de detectare.

Campania GPUGate evidențiază complexitatea amenințărilor cibernetice actuale. Atacatorii combină ingineria socială cu infrastructuri aparent legitime, compromițând organizațiile din sectorul IT. Specialiștii recomandă adoptarea de măsuri preventive, cum ar fi vigilența la linkurile din reclame și verificarea surselor înainte de a descărca software, chiar dacă pare legitim.

Prin sofisticarea tacticilor folosite, GPUGate subliniază importanța monitorizării continue a amenințărilor cibernetice. Organizațiile trebuie să rămână informate și să implementeze măsuri adecvate de securitate pentru a proteja informațiile sensibile.