Изследователи от Arctic Wolf съобщиха за нова кампания, наречена GPUGate, в която нападателите използват реклами в Google и фалшиви комити в GitHub, за да разпространяват зловреден софтуер сред ИТ компании и разработчици в Западна Европа. Атаките са регистрирани за първи път през декември 2024 година насам и се маскират като изтегляния на GitHub Desktop, но връзките водят до фалшивия домейн „gitpage.app“, където се хоства заразената дистрибуция.

Първият етап на заразяването започва с изтеглянето на фалшив инсталационен MSI файл с размер 128MB.

Този размер е умишлено избран, за да се заобиколят много онлайн пясъчници. Вътре криптираният код се активира само при наличието на пълноценен графичен адаптер – механизмът за декриптиране, зависещ от графичния процесор, е ключова характеристика на схемата. Ако не са налични драйвери или ако се открие виртуална среда, изпълнението се спира. Освен това файлът съдържа голямо количество „ненужни“ данни, които усложняват анализа.

След като бъде стартиран, злонамереният софтуер изпълнява верига от скриптове: VBScript инициира PowerShell, който получава административни привилегии, деактивира проверките на Microsoft Defender за своите компоненти, създава задачи в планиращото устройство за постоянно присъствие и разархивира архива с основния набор от изпълними файлове. По-нататъшните действия са насочени към кражба на данни и изтегляне на допълнителни зловредни модули.

Изследователите също така установиха, че инфраструктурата на нападателите е била използвана за хостване на зловредния софтуер Atomic macOS Stealer (AMOS), което подсказва за междуплатформен подход.

В резултат на това нападателите се насочват не само към среди с Windows, но и към устройства на Apple. От особен интерес е използването на структурата на комитите в GitHub за подправяне на линковете: дори ако URL-адресът визуално сочи към легитимен ресурс, в действителност той пренасочва към фалшива страница, заобикаляйки проверките на потребителите и сигурността.

Успоредно с това експертите на Acronis публикуваха данни за развитието на друга кампания, свързана с компрометирането на ConnectWise ScreenConnect. По време на атаките нападателите са изтеглили на заразените хостове едновременно три злонамерени програми: AsyncRAT, PureHVNC RAT и собствения си троянец PowerShell. Последният е способен да стартира програми, да изтегля и изпълнява файлове и да осигурява достъп. За разпространение се използва инсталаторът ScreenConnect на ClickOnce, който не съдържа конфигурация и зарежда компонентите динамично, което затруднява статичния анализ и откриването.