Recent, o campanie avansată de malware, denumită GPUGate, evidențiază complexitatea amenințărilor cibernetice targeting companii din sectorul IT și dezvoltare software din Europa de Vest. Aceasta combină tehnici sofisticate pentru a eluda sistemele de securitate și pentru a compromite infrastructura digitală a organizațiilor.

Campania GPUGate utilizează reclame plătite pe motoarele de căutare și linkuri manipulate, care par a proveni de pe platforme de încredere, precum GitHub. Cercetătorii de securitate de la Arctic Wolf au identificat că atacatorii ințeapă URL-uri cu comituri false de pe GitHub, redirecționând utilizatorii spre site-uri controlate de hackeri, precum „gitpage[.]app”. Deși linkul pare să conducă către un repository legitim, acesta de fapt descarcă un fișier malițios, făcând detectarea dificilă.

Se remarcă utilizarea unui fișier MSI de 128 MB, care, datorită dimensiunii mari, evită multe medii de securitate online. Malware-ul folosește o tehnică avansată de evitare a detectării, depinzând de GPU-ul sistemului. În lipsa unui GPU real, fișierul rămâne criptat, fiind invizibil în medii virtuale sau sandbox.

Executabilul include fișiere „ștanțate” și se oprește dacă nu detectează un GPU adecvat, sau dacă numele dispozitivului are mai puțin de 10 caractere. Ulterior, rulează un script Visual Basic care lansează un PowerShell cu privilegii administrative. Prin acest proces, atacatorii configura excluderi pentru Microsoft Defender, setează sarcini programate pentru persistență și descarcă fișiere malițioase dintr-un ZIP codat.

Obiectivul final al malware-ului GPUGate este furtul de informații și instalarea unor payload-uri secundare, toate acestea fiind realizate evitând detectarea. Analizele sugerează implicarea unor atacatori originari din Rusia, fiind observate și extensii cross-platform, precum stealerul Atomic pentru macOS.

Campaniile conexe, precum cea a software-ului de acces la distanță ConnectWise ScreenConnect, folosesc metode similare pentru pătrunderea sistemelor, precum distribuirea de RAT-uri (tooluri de control de la distanță) și instalarea unui software compromis la rulare, reducând eficiența metodelor tradiționale de prevenție.

Atacurile GPUGate evidențiază cât de mult s-au dezvoltat tehnicile de evaziune și sofisticarea amenințărilor cibernetice. Organizațiile IT trebuie să fie proactive, verificând cu atenție sursele linkurilor și fișierelor, pentru a evita compromise.

Menținerea unei vigilențe sporite și update-urilor constante la politicile de securitate rămân esențiale în fața acestor tehnici avansate de atac. Informarea continuă și monitorizarea evoluțiilor în domeniul amenințărilor cibernetice sunt cruciale pentru protecție.