GPUGate是一种新型网络攻击技术,通过伪装Google Ads广告和篡改GitHub仓库分发恶意软件。攻击者利用合法网站的可信度诱骗用户下载伪装成正常软件的恶意MSI安装包。该恶意软件能绕过多数安全沙盒检测,并采用GPU加密技术隐藏自身payload以避免被发现。此外,该恶意软件还能提升系统权限并在后台持续运行以窃取敏感信息或部署勒索软件。研究人员建议用户加强安全防护措施,并避免从非官方渠道下载软件以防范此类攻击。 2025-9-9 09:45:34 Author: www.securityinfo.it(查看原文) 阅读量:4 收藏
GPUGate, una nuova tecnica che sfrutta Google Ads e GitHub per distribuire malware
Set 09, 2025 Attacchi, In evidenza, Malware, News, RSS
I ricercatori di Arctic Wolf hanno scoperto GPUGate, una nuova tecnica di attacco che sfrutta la struttura dei repository GitHub e gli annunci su Google Ads per distribuire malware.
La catena d’attacco inizia proprio con banner Google Ads creati ad hoc, in modo che compaiano in cima alla lista dei risultati di ricerca. Cercando per esempio “GitHub Desktop”, l’annuncio malevolo veniva presentato come primo risultato e gli utenti non si pongono il problema se sia legittimo o meno.
Cliccando sull’annuncio la vittima viene fatta navigare su uno specifico commit GitHub di un repository legittimo in cui il README è stato modificato e include link malevoli per il download di software. “Integrando l’hash del commit nell’URL stesso della pagina, un attaccante può mostrare una pagina che è identica a quella originale, ma contiene le sue modifiche” spiegano i ricercatori. I link di download contenuti nel README scaricano un eseguibile malevolo che contiene il payload del malware e lo installa.
Oltre alle tecniche di attacco utilizzate, anche il malware è molto particolare: si tratta di un installer Microsoft (MSI) in grado di evadere la maggior parte delle sandbox di sicurezza; inoltre, GPUGate utilizza una routine di decrittografia basata su GPU per mantenere il payload crittografato, anche sui sistemi che non hanno una GPU reale.
GPUGate esegue uno script PowerShell anche per eludere i controlli di sicurezza e continuare a eseguire in background, assegnandosi i privilegi più elevati sul sistema. La capacità di persistere sul sistema consente inoltre al malware di “sopravvivere” a eventuali riavvii.
Gli impatti di GPUGate
Secondo il team di Arctic Wolf, l’obiettivo dei cyberattaccanti è ottenere l’accesso ai sistemi aziendali per poi sottrarre credenziali, informazioni sensibili ed eventualmente distribuire ransomware. I privilegi di amministratore consentono al malware non solo di terminare i processi di sicurezza, ma anche di disabilitare meccanismi di ripristino e cancellare file di backup, rendendo l’esecuzione di ransomware ancora più distruttiva.
Le tecniche usate nella campagna garantiscono un’esecuzione del malware “esclusiva”, solo su macchine accuratamente selezionate. “Un approccio così selettivo e accurato garantisce che solo le vittime più “interessanti” vengano infettate, mentre i ricercatori di sicurezza e persino molti prodotti di sicurezza informatica potrebbero inizialmente fallire nella loro analisi” spiegano i ricercatori.
Gli attacchi hanno preso di mira realtà del settore IT dell’Europa occidentale. A giudicare dai commenti presenti nel codice dello script Powershell, il gruppo sarebbe di origine russa. La campagna, scoperta lo scorso 19 agosto, è ancora attiva.
Oltre a utilizzare sistemi di sicurezza avanzati, i ricercatori consigliano di disabilitare l’esecuzione di script PowerShell se non strettamente necessaria e ricordano di scaricare software soltanto dal sito ufficiale del produttore.
Altro in questa categoria
如有侵权请联系:admin#unsafe.sh