GPUGate 恶意软件利用 Google 广告和虚假 GitHub 提交攻击 IT 公司

网络安全研究人员详细介绍了一项新的复杂恶意软件活动，该活动利用 Google 等搜索引擎上的付费广告，向寻找 GitHub Desktop 等流行工具的毫无戒心的用户投放恶意软件。

虽然恶意广告活动近年来已变得司空见惯，但最新的活动却有一些变化：将 GitHub 提交嵌入到包含指向攻击者控制的基础设施的更改链接的页面 URL 中。

Arctic Wolf在上周发布的一份报告中表示： “即使链接似乎指向 GitHub 等信誉良好的平台，底层 URL 也可能被操纵以解析为假冒网站。”

自 2024 年 12 月以来，恶意 GitHub 提交中的链接专门针对西欧的 IT 和软件开发公司，旨在将用户引导至托管在相似域（“gitpage[.]app”）上的恶意下载。

审计及其他
利用被污染的搜索结果传播的第一阶段恶意软件是一个庞大的 128 MB Microsoft 软件安装程序 (MSI)，由于其庞大的体积，它能够规避大多数现有的网络安全沙箱。此外，一个由图形处理单元 (GPU) 控制的解密程序，即使在没有真实 GPU 的系统上也能保持有效载荷的加密。该技术的代号为 GPUGate。

该网络安全公司表示：“缺乏适当 GPU 驱动程序的系统很可能是安全研究人员常用的虚拟机 (VM)、沙盒或较旧的分析环境。可执行文件 [...] 使用 GPU 函数生成用于解密有效载荷的加密密钥，并在执行此操作时检查 GPU 设备名称。”

除了加入多个垃圾文件作为填充物并使分析复杂化之外，如果设备名称少于 10 个字符或 GPU 功能不可用，它还会终止执行。

随后，攻击需要执行一个 Visual Basic 脚本，该脚本启动一个 PowerShell 脚本，然后以管理员权限运行，添加 Microsoft Defender 排除项，设置持久性计划任务，最后运行从下载的 ZIP 存档中提取的可执行文件。

其最终目标是协助信息窃取并传递二次载荷，同时规避检测。鉴于PowerShell脚本中存在俄语注释，因此评估认为，该活动背后的威胁行为者以俄语为母语。

对威胁行为者的域名的进一步分析表明，它是 Atomic macOS Stealer ( AMOS )的集结地，表明采用了跨平台方法。

“通过利用 GitHub 的提交结构和 Google Ads，威胁行为者可以令人信服地模仿合法软件存储库并将用户重定向到恶意负载 - 绕过用户审查和端点防御，”Arctic Wolf 表示。

CIS 构建套件
此次披露正值 Acronis 详细介绍了木马化的 ConnectWise ScreenConnect 活动的持续演变之际，该活动使用远程访问软件在自 2025 年 3 月以来针对美国组织的社会工程攻击中，将AsyncRAT、PureHVNC RAT和自定义的基于 PowerShell 的远程访问木马 (RAT) 投放到受感染的主机上。

定制的 PowerShell RAT 通过从破解的 ScreenConnect 服务器下载的 JavaScript 文件执行，提供一些基本功能，例如运行程序、下载和执行文件以及简单的持久性机制。


该安全供应商表示： “攻击者现在使用 ScreenConnect 的 ClickOnce 运行安装程序，该安装程序缺乏嵌入式配置，而是在运行时获取组件。这种演变降低了传统静态检测方法的有效性，并使预防变得更加复杂，使得防御者几乎没有可靠的选择。”