Чем сильнее ваш компьютер, тем более уязвимым вы: парадокс атаки Gpugate, нацеленный на геймеров и разработчиков
Исследователи Arctic Wolf сообщили о новой кампании под названием Gpugate, в которой злоумышленники используют Google Ads и Fake Github комитеты для распространения вредоносных программ для ИТ -компаний и разработчиков в Западной Европе. Атаки были впервые зарегистрированы в декабре 2024 года и замаскированы как загрузки с рабочего стола GitHub, но соединения приводят к фальшивому домену GitPage.App, где размещено зараженное распределение.
Первый этап инфекции начинается с загрузки фальшивого файла MSI с размером 128 МБ.
Этот размер преднамеренно выбран, чтобы обойти много онлайн -песчаников. Внутри зашифрованный код активируется только в присутствии полного графического адаптера — механизм дешифрования в зависимости от графического процессора является ключевой характеристикой схемы. Если водители недоступны или если виртуальная среда найдена, выполнение останавливается. Кроме того, файл содержит большое количество «ненужных» данных, которые усложняют анализ.
После запуска вредоносные программы выполняют цепочку сценариев: VBScript инициирует PowerShell, которая получает административные привилегии, деактивирует проверку Microsoft Defender для своих компонентов, создает задачи в устройстве планирования для постоянного присутствия и скальпа. Дальнейшие действия направлены на кражу данных и загрузку дополнительных вредоносных модулей.
Исследователи также обнаружили, что инфраструктура злоумышленников использовалась для размещения вредоносного атомного MacOS -кражи (AMOS), который предполагает межпластичный подход.
В результате нападавшие отправляются не только в Windows Media, но и на устройства Apple. Особый интерес представляет использование структуры комитета GitHub для приправы ссылок: даже если URL -змей визуально указывает на законное ресурс, на самом деле он перенаправляет на поддельную страницу, обходя пользователей и проверки безопасности.
Параллельно, эксперты Acronis опубликовали данные о разработке другой кампании, связанной с компромиссом Connectwise ScreenceNct. Во время нападений нападавшие загрузили три вредоносных программы на зараженных хозяевах: Asyncrat, Purehvnc Rat и его собственную Powershell. Последний способен запустить программы, загружать и выполнять файлы и предоставлять доступ. Установщик Screencence Clickonce используется для распределения, который не содержит конфигурации и заряжает динамические компоненты, которые препятствуют статическому анализу и обнаружению.
