Los investigadores de ciberseguridad han detallado una nueva campaña de malware sofisticada que aprovecha los anuncios pagados en los motores de búsqueda como Google para entregar malware a los usuarios desprevenidos que buscan herramientas populares como Github Desktop.
Si proporcionadamente las campañas malvoradas se han convertido en un circunstancia popular en los últimos abriles, la última actividad le da un pequeño construcción propio: enquistar un compromiso de GitHub en una URL de página que contiene enlaces alterados que apuntan a la infraestructura controlada por los atacantes.
“Incluso cuando un enlace parece apuntar a una plataforma de buena reputación como GitHub, la URL subyacente puede ser manipulada para resolver un sitio falsificado”, dijo Arctic Wolf en un mensaje publicado la semana pasada.
Exclusivamente dirigidas a las compañías de progreso de TI y software en Europa occidental desde al menos diciembre de 2024, los enlaces interiormente de la confirmación de Rogue GitHub están diseñados para canalizar a los usuarios a una descarga maliciosa alojada en un dominio parecido (“GitPage (.) Aplicación”).
El malware de la primera etapa entregado con resultados de búsqueda envenenados es un instalador de software de Microsoft (MSI) de 128 MB hinchado que, correcto a su tamaño, evade la mayoría de los cajas de arena de seguridad en serie existentes, mientras que una rutina de descifrado de la Dispositivo de Procesamiento de Gráficos (GPU) mantiene la carga útil encriptada en sistemas sin una GPU verdadero. La técnica ha sido con nombre en código GPUGATE.
“Es probable que los sistemas sin controladores de GPU adecuados sean máquinas virtuales (máquinas virtuales), cajas de arena o entornos de examen anteriores que los investigadores de seguridad usan comúnmente”, dijo la compañía de seguridad cibernética. “El ejecutable (…) utiliza funciones de GPU para gestar una secreto de secreto para descifrar la carga útil, y verifica el nombre del dispositivo GPU como lo hace”.
Por otra parte de incorporar varios archivos de basura como un examen de relleno y complicar, incluso termina la ejecución si el nombre del dispositivo es menos de 10 caracteres o las funciones de GPU no están disponibles.
Después, el ataque implica la ejecución de un script de Visual Basic que gancho un script de PowerShell, que, a su vez, se ejecuta con privilegios de administrador, agrega exclusiones de Microsoft Defender, establece tareas programadas para la persistencia y finalmente ejecuta archivos ejecutables extraídos de un archivo ZIP descargado.
El objetivo final es proveer el robo de información y entregar cargas enseres secundarias, al tiempo que evade simultáneamente la detección. Se evalúa que los actores de amenaza detrás de la campaña tienen el dominio del idioma ruso nativo, dada la presencia de comentarios del idioma ruso en el divisa de PowerShell.
El examen posterior del dominio del actor de amenaza ha revelado que está actuando como un campo de puesta en decorado para Atomic MacOS Stealer (AMOS), lo que sugiere un enfoque multiplataforma.
“Al explotar la estructura de confirmación de GitHub y usar los anuncios de Google, los actores de amenaza pueden imitar de forma convincente repositorios de software legítimos y redirigir a los usuarios a las cargas enseres maliciosas, sin acaecer por stop tanto el cómputo del legatario como las defensas de puntos finales”, Arctic Wolf.
La divulgación se produce cuando Acronis detalló la cambio continua de una campaña de captura de pantalla de conexión de ConnectWanizada que utiliza el software de comunicación remoto para editar Asyncrat, PureHVNC RAT y un troyano de comunicación remoto (rata) personalizado basado en PowerShell en hosts infectados en ataques de ingeniería social dirigidas a organizaciones estadounidenses desde marzo de 2025.
La rata de PowerShell a medida, ejecutada por un archivo JavaScript descargado del servidor SCRIENCONNECT CRACKED, proporciona algunas funcionalidades básicas, como ejecutar programas, descargar y ejecutar archivos, y un simple mecanismo de persistencia.
“Los atacantes ahora usan un instalador de Runner de Clickonce para ScreenConnect, que carece de configuración integrada y, en cambio, obtiene componentes en tiempo de ejecución”, dijo el proveedor de seguridad. “Esta cambio hace que los métodos tradicionales de detección estática sean menos efectivos y complican la prevención, dejando a los defensores con pocas opciones confiables”.
