Un nou val de atacuri informatice, denumit GPUGate, vizează companii din domeniul IT şi dezvoltare software din Europa de Vest printr-o campanie de malware care exploatează reclame plătite şi linkuri manipulate ce par să provină de pe platforme de încredere, precum GitHub. Cercetătorii Arctic Wolf au descoperit că atacatorii folosesc un commit GitHub fals într-un URL care redirecţionează utilizatorii către site-uri controlate de hackeri, cum este domeniul „gitpage[.]app”. Deşi linkul pare legitim, acesta ascunde descărcarea unui fişier maliţios dificil de detectat.
Prima etapă a atacului presupune instalarea unui fişier Microsoft Software Installer de 128 MB, suficient de mare pentru a evita filtrele de securitate online. Malware-ul se bazează pe un mecanism de decriptare dependent de GPU: dacă nu există o placă grafică reală, fişierul rămâne criptat, ceea ce îl face invizibil pentru mediile virtuale şi sandbox-urile folosite de cercetători. Executabilul conţine şi măsuri suplimentare anti-analiză, oprindu-se automat dacă nu este detectat un GPU sau dacă numele dispozitivului are mai puţin de 10 caractere.
După instalare, malware-ul rulează un script Visual Basic ce lansează PowerShell cu privilegii administrative, dezactivează parţial protecţia Microsoft Defender, stabileşte sarcini programate pentru persistenţă şi extrage fişiere suplimentare dintr-o arhivă maliţioasă. Obiectivul final este furtul de date şi instalarea de payload-uri secundare, în timp ce se evită detecţia. Comentariile în limba rusă din cod sugerează implicarea unor atacatori vorbitori nativi de rusă, iar analizele arată o posibilă extindere şi către macOS prin stealerul Atomic (AMOS).
În paralel, experţii Acronis au observat evoluţia campaniei ConnectWise ScreenConnect, unde software-ul de acces la distanţă este exploatat pentru a livra troieni de acces la distanţă precum AsyncRAT şi PureHVNC RAT, folosind un installer ClickOnce care descarcă componentele la rulare şi reduce eficienţa metodelor statice de detecţie.
GPUGate ilustrează modul în care atacatorii combină ingineria socială cu infrastructuri aparent legitime pentru a compromite organizaţii IT şi pentru a trece neobservaţi. Specialiştii recomandă verificarea atentă a surselor software şi prudenţă sporită la accesarea linkurilor din reclame. Prin tehnicile avansate utilizate, campania confirmă creşterea nivelului de sofisticare al ameninţărilor cibernetice şi necesitatea unor măsuri proactive de apărare.
