Чем мощнее ваш ПК, тем вы уязвимее. Парадокс атаки GPUGate, нацеленной на геймеров и разработчиков

leer en español

Arctic Wolf GPUGate Google Ads GitHub Acronis ScreenConnect AMOS
Чем мощнее ваш ПК, тем вы уязвимее. Парадокс атаки GPUGate, нацеленной на геймеров и разработчиков
Arctic Wolf GPUGate Google Ads GitHub Acronis ScreenConnect AMOS

Простой апгрейд железа вполне может стать билетом в вашу систему.

image

Исследователи из Arctic Wolf сообщили о новой кампании, получившей название GPUGate, в рамках которой злоумышленники используют рекламные объявления Google и поддельные коммиты GitHub для распространения вредоносного ПО среди ИТ-компаний и разработчиков в Западной Европе. Атаки фиксируются как минимум с декабря 2024 года и маскируются под загрузку GitHub Desktop, однако ссылки ведут на фальшивый домен «gitpage[.]app», где размещён заражённый дистрибутив.

Первый этап заражения начинается с загрузки поддельного установщика MSI объёмом 128 МБ. Такой размер намеренно выбран, чтобы обойти многие онлайн-песочницы. Внутри зашифрованный код активируется только при наличии полноценного графического адаптера — механизм GPU-зависимой расшифровки стал ключевой особенностью схемы. В случае отсутствия драйверов или при определении виртуальной среды выполнение прекращается. Дополнительно файл содержит большое количество «мусорных» данных, усложняющих анализ.

После запуска вредонос выполняет цепочку сценариев: VBScript инициирует PowerShell , который получает права администратора, отключает проверки Microsoft Defender для своих компонентов, создаёт задания в планировщике для постоянного присутствия и распаковывает архив с основным набором исполняемых файлов. Дальнейшие действия нацелены на кражу данных и загрузку дополнительных вредоносных модулей.

Исследователи выявили также, что инфраструктура злоумышленников использовалась для размещения вредоноса Atomic macOS Stealer (AMOS), что говорит о кроссплатформенном подходе. Таким образом, целью атакующих становится не только Windows-среда, но и устройства Apple. Особый интерес вызывает использование структуры коммитов GitHub для подмены ссылок: даже если адрес визуально указывает на легитимный ресурс, в реальности он перенаправляет на поддельную страницу, минуя проверки пользователей и систем защиты.

Параллельно эксперты Acronis опубликовали данные о развитии другой кампании, связанной с компрометацией ConnectWise ScreenConnect. В ходе атак злоумышленники загружают на заражённые хосты сразу три вредоноса: AsyncRAT, PureHVNC RAT и собственный PowerShell-троян. Последний способен запускать программы, загружать и исполнять файлы, а также обеспечивать сохранение доступа. Для распространения применяется ClickOnce-установщик ScreenConnect, который не содержит конфигурации и подгружает компоненты динамически, что затрудняет статический анализ и обнаружение.