一种名为“GPUGate”的复杂恶意软件活动滥用 Google Ads 和 GitHub 的存储库结构来诱骗用户下载恶意软件。
北极狼网络安全运营中心,该攻击链使用一种新技术,通过利用计算机的图形处理单元 (GPU) 来逃避安全分析。
该活动似乎是一个讲俄语的威胁行为者所为,并积极针对西欧的 IT 专业人员。
攻击始于恶意广告,攻击者将赞助广告放置在 Google 搜索结果的顶部,搜索“GitHub Desktop”等术语。此广告将用户引导至看似合法的 GitHub 页面。
实际上,该链接指向存储库中特定的、纵的“提交”页面。此页面看起来真实,保留了存储库的名称和元数据,但包含指向攻击者控制的域的更改下载链接。
这种“信任桥”利用用户对 Google 和 GitHub 的信心来传递恶意负载。
GPUGate 特别引人注目的是其独特的规避方法。初始安装程序是一个 128 MB 的大文件,旨在绕过通常有文件大小限制的安全沙箱。
其最具创新性的功能是 GPU 门控解密例程。Arctic Wolf 说,该恶意软件只有在检测到设备名称超过 10 个字符的真实物理 GPU 时才会解密其恶意有效负载。
这是一种故意阻碍分析的策略,因为安全研究人员使用的虚拟机和沙箱通常具有通用的、简短的 GPU 名称或根本没有 GPU。在此类系统上,有效负载保持加密且惰性。
该活动的主要目标是获得对组织网络的初始访问权限,以进行恶意活动,包括凭据盗窃、数据泄露和勒索软件部署。
通过针对开发人员和 IT 工作人员(可能寻求 GitHub Desktop 等工具的个人),攻击者的目标是具有更高网络权限的受害者。
执行后,恶意软件会使用 PowerShell 脚本来获取管理权限,创建计划任务以进行持久性,并向 Windows Defender 添加排除项以避免检测。该活动至少自 2024 年 12 月以来一直活跃,代表着不断发展的重大威胁。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
