Los investigadores de ciberseguridad han detallado una nueva campaña de malware sofisticada que aprovecha los anuncios pagados en los motores de búsqueda como Google para entregar malware a los usuarios desprevenidos que buscan herramientas populares como Github Desktop.
Si admisiblemente las campañas malvoradas se han convertido en un lado popular en los últimos abriles, la última actividad le da un pequeño libranza propio: introducir un compromiso de GitHub en una URL de página que contiene enlaces alterados que apuntan a la infraestructura controlada por los atacantes.
«Incluso cuando un enlace parece apuntar a una plataforma de buena reputación como GitHub, la URL subyacente puede ser manipulada para resolver un sitio falsificado», dijo Arctic Wolf en un documentación publicado la semana pasada.
Exclusivamente dirigidas a las compañías de mejora de TI y software en Europa occidental desde al menos diciembre de 2024, los enlaces adentro de la confirmación de Rogue GitHub están diseñados para canalizar a los usuarios a una descarga maliciosa alojada en un dominio parecido («GitPage (.) Aplicación»).
El malware de la primera etapa entregado con resultados de búsqueda envenenados es un instalador de software de Microsoft (MSI) de 128 MB hinchado que, correcto a su tamaño, evade la mayoría de los cajas de arena de seguridad en cuerda existentes, mientras que una rutina de descifrado de la Mecanismo de Procesamiento de Gráficos (GPU) mantiene la carga útil encriptada en sistemas sin una GPU positivo. La técnica ha sido con nombre en código GPUGATE.
«Es probable que los sistemas sin controladores de GPU adecuados sean máquinas virtuales (máquinas virtuales), cajas de arena o entornos de exploración anteriores que los investigadores de seguridad usan comúnmente», dijo la compañía de seguridad cibernética. «El ejecutable (…) utiliza funciones de GPU para producir una esencia de enigmático para descifrar la carga útil, y verifica el nombre del dispositivo GPU como lo hace».
Adicionalmente de incorporar varios archivos de basura como un exploración de relleno y complicar, incluso termina la ejecución si el nombre del dispositivo es menos de 10 caracteres o las funciones de GPU no están disponibles.
Luego, el ataque implica la ejecución de un script de Visual Basic que vara un script de PowerShell, que, a su vez, se ejecuta con privilegios de administrador, agrega exclusiones de Microsoft Defender, establece tareas programadas para la persistencia y finalmente ejecuta archivos ejecutables extraídos de un archivo ZIP descargado.
El objetivo final es favorecer el robo de información y entregar cargas efectos secundarias, al tiempo que evade simultáneamente la detección. Se evalúa que los actores de amenaza detrás de la campaña tienen el dominio del idioma ruso nativo, dada la presencia de comentarios del idioma ruso en el signo de PowerShell.
El exploración posterior del dominio del actor de amenaza ha revelado que está actuando como un campo de puesta en terreno para Atomic MacOS Stealer (AMOS), lo que sugiere un enfoque multiplataforma.
«Al explotar la estructura de confirmación de GitHub y beneficiarse los anuncios de Google, los actores de amenaza pueden imitar de guisa convincente repositorios de software legítimos y redirigir a los usuarios a las cargas efectos maliciosas, sin suceder por suspensión tanto el cómputo del afortunado como las defensas de puntos finales», Arctic Wolf.
La divulgación se produce cuando Acronis detalló la crecimiento continua de una campaña de captura de pantalla de conexión de ConnectWanizada que utiliza el software de entrada remoto para editar Asyncrat, PureHVNC RAT y un troyano de entrada remoto (rata) personalizado basado en PowerShell en hosts infectados en ataques de ingeniería social dirigidas a organizaciones estadounidenses desde marzo de 2025.
La rata de PowerShell a medida, ejecutada por un archivo JavaScript descargado del servidor SCRIENCONNECT CRACKED, proporciona algunas funcionalidades básicas, como ejecutar programas, descargar y ejecutar archivos, y un simple mecanismo de persistencia.
«Los atacantes ahora usan un instalador de Runner de Clickonce para ScreenConnect, que carece de configuración integrada y, en cambio, obtiene componentes en tiempo de ejecución», dijo el proveedor de seguridad. «Esta crecimiento hace que los métodos tradicionales de detección estática sean menos efectivos y complican la prevención, dejando a los defensores con pocas opciones confiables».
