Los investigadores de ciberseguridad han detallado una nueva campaña de malware sofisticada que aprovecha los anuncios pagados en los motores de búsqueda como Google para entregar malware a los usuarios desprevenidos que buscan herramientas populares como Github Desktop.
Si bien las campañas malvoradas se han convertido en un lugar común en los últimos años, la última actividad le da un pequeño giro propio: incrustar un compromiso de GitHub en una URL de página que contiene enlaces alterados que apuntan a la infraestructura controlada por los atacantes.
«Incluso cuando un enlace parece apuntar a una plataforma de buena reputación como GitHub, la URL subyacente puede ser manipulada para resolver un sitio falsificado», Arctic Wolf dicho en un informe publicado la semana pasada.
Exclusivamente dirigidas a las compañías de desarrollo de TI y software en Europa occidental desde al menos diciembre de 2024, los enlaces dentro de Rogue GitHub Commit están diseñados para canalizar a los usuarios a una descarga maliciosa alojada en un dominio parecido («GitPage[.]aplicación «).
El malware de la primera etapa entregado con resultados de búsqueda envenenados es un instalador de software de Microsoft (MSI) de 128 MB hinchado que, debido a su tamaño, evade la mayoría de los cajas de arena de seguridad en línea existentes, mientras que una rutina de descifrado de la Unidad de Procesamiento de Gráficos (GPU) mantiene la carga útil encriptada en sistemas sin una GPU real. La técnica ha sido con nombre en código GPUGATE.
«Es probable que los sistemas sin controladores de GPU adecuados sean máquinas virtuales (máquinas virtuales), cajas de arena o entornos de análisis anteriores que los investigadores de seguridad usan comúnmente», dijo la compañía de seguridad cibernética. «El ejecutable […] Utiliza funciones de GPU para generar una clave de cifrado para descifrar la carga útil, y verifica el nombre del dispositivo GPU como lo hace «.
Además de incorporar varios archivos de basura como un análisis de relleno y complicar, también termina la ejecución si el nombre del dispositivo es menos de 10 caracteres o las funciones de GPU no están disponibles.
Posteriormente, el ataque implica la ejecución de un script de Visual Basic que lanza un script de PowerShell, que, a su vez, se ejecuta con privilegios de administrador, agrega exclusiones de Microsoft Defender, establece tareas programadas para la persistencia y finalmente ejecuta archivos ejecutables extraídos de un archivo ZIP descargado.
El objetivo final es facilitar el robo de información y entregar cargas útiles secundarias, al tiempo que evade simultáneamente la detección. Se evalúa que los actores de amenaza detrás de la campaña tienen el dominio del idioma ruso nativo, dada la presencia de comentarios del idioma ruso en el guión de PowerShell.
Un análisis posterior del dominio del actor de amenaza ha revelado que está actuando como un campo de puesta en escena para el robador de macos atómicos (Amos), sugiriendo un enfoque multiplataforma.
«Al explotar la estructura de confirmación de GitHub y aprovechar los anuncios de Google, los actores de amenaza pueden imitar de manera convincente repositorios de software legítimos y redirigir a los usuarios a las cargas útiles maliciosas, sin pasar por alto tanto el escrutinio del usuario como las defensas de puntos finales», Arctic Wolf.
La divulgación se produce cuando Acronis detalló la evolución en curso de una campaña de captura de pantalla de conexión de conexión de Troyanizado que utiliza el software de acceso remoto para soltar Asíncrata, Rata purahvncy un troyano de acceso remoto (RAT) personalizado basado en PowerShell en anfitriones infectados en ataques de ingeniería social dirigidos a organizaciones estadounidenses desde marzo de 2025.
La rata de PowerShell a medida, ejecutada por un archivo JavaScript descargado del servidor SCRIENCONNECT CRACKED, proporciona algunas funcionalidades básicas, como ejecutar programas, descargar y ejecutar archivos, y un simple mecanismo de persistencia.
«Los atacantes ahora usan un instalador de Runner de ClickOnce para Screenconnect, que carece de configuración integrada y, en cambio, obtiene componentes en tiempo de ejecución», el proveedor de seguridad dicho. «Esta evolución hace que los métodos tradicionales de detección estática sean menos efectivos y complican la prevención, dejando a los defensores con pocas opciones confiables».
Fuente