Una sofisticada campaña de malware, bautizada como GPUGate, está utilizando anuncios en Google y la estructura de repositorios de GitHub para engañar a usuarios y distribuir software malicioso, aprovechando su reputación para reforzar su credibilidad.
Según el Arctic Wolf Cybersecurity Operations Center, el ataque se atribuye a un actor de amenazas de origen ruso y tiene como objetivo a profesionales de TI en Europa Occidental, un perfil de víctimas con acceso privilegiado a redes corporativas.
El vector inicial comienza con anuncios patrocinados en Google que aparecen al buscar herramientas como GitHub Desktop. Estos anuncios dirigen a páginas de commits en GitHub que parecen legítimas, conservando nombre y metadatos del repositorio, pero que incluyen enlaces manipulados hacia dominios controlados por los atacantes.
Lo que distingue a GPUGate es su método de evasión. El instalador inicial es un archivo de 128 MB diseñado para eludir sandboxes de seguridad que suelen aplicar límites de tamaño. A ello se suma un mecanismo de descifrado que solo se activa si detecta una GPU física real con un nombre de dispositivo superior a diez caracteres. En entornos virtuales o máquinas de análisis, la carga maliciosa permanece cifrada e inactiva, reduciendo las posibilidades de detección en pruebas de seguridad.
El objetivo final de la campaña es obtener acceso inicial a redes corporativas para actividades como robo de credenciales, exfiltración de datos o despliegue de ransomware. Una vez ejecutado, el malware utiliza un script de PowerShell para adquirir privilegios de administrador, establecer persistencia y evadir Windows Defender.
Los analistas advierten que la campaña está activa desde al menos diciembre de 2024 y representa una amenaza en constante evolución.
Más información:
La entrada GPUGate: el malware que explota la reputación de Google y GitHub se publicó primero en Una Al Día.
☞ El artículo completo original de Germán Centeno lo puedes ver aquí
No hay comentarios.:
Publicar un comentario