Installazioni di GitHub Desktop ingannevoli utilizzate per colpire professionisti europei dell'informatica in una truffa online continua
In una recente minaccia informatica, una nuova campagna malware nota come GPUGate sta prendendo di mira il settore IT dell'Unione Europea. La campagna maliziosa, attribuita a gruppi di minaccia con competenze linguistiche russe, è progettata per evitare la rilevazione in macchine virtuali, sabbie e vecchi ambienti di analisi.
Il malware, soprannominato GPUGate a causa della sua routine di decrittografia/evitamento dell'analisi basata sulla GPU, viene principalmente distribuito attraverso una campagna di malvertising e geofencing. Gli attaccanti ingannano gli utenti per far loro visitare un commit specifico in un repository GitHub legittimo, portandoli a un dominio lookalike (gitpage[.]app) controllato dall'attaccante, che serve eseguibili maliziosi.
Gli utenti MacOS che cliccano sul link di download si trovano di fronte al famigerato Atomic Stealer (AMOS Stealer). Tuttavia, gli utenti Windows ricevono un "ingombrante" file di installazione Microsoft Software (MSI) che imita il legittimo GitHub Desktop installer, contenente un eseguibile malizioso e oltre 100 dummy.
Una volta che il malware ottiene l'accesso a un sistema, può attivare attacchi alla catena di fornitura, furto di credenziali, manipolazione del codice sorgente e movimento laterale all'interno delle reti aziendali. Il sistema di download del carico utile modulare del malware recupera archivi ZIP contenenti componenti malware secondari dall'infrastruttura remota, in base alle caratteristiche del sistema e alle esigenze operative.
Il malware aggiunge esclusioni a Windows Defender, crea un compito pianificato con il livello di privilegio più elevato, crea un file di segnalazione per evitare l'esecuzione ripetuta e si esegue in un processo in background per evitare la rilevazione. Inoltre, non si esegue intenzionalmente sui sistemi senza una GPU reale e un nome dispositivo inferiore a 10 caratteri, che sono probabilmente macchine virtuali, sabbie o vecchi ambienti di analisi.
Arctic Wolf ha condiviso indicatori di compromissione, regole Yara per rilevare i falsi installatori GitHub Desktop Windows e raccomandazioni di sicurezza per le organizzazioni e gli individui-target. Iscrivendosi a un servizio di notizie in tempo reale, è possibile rimanere informati sulle ultime violazioni, vulnerabilità e minacce informatiche.
L'obiettivo della campagna è ottenere l'accesso iniziale alle organizzazioni per attività maliziose come il furto di credenziali, l'infostealing e il deployment del ransomware. Il malware prende di mira principalmente i lavoratori del settore IT, in quanto spesso hanno accesso a codici sorgente sensibili, pipeline di distribuzione e credenziali dell'infrastruttura.
L'attacco GPUGate è ancora attivo e gli attaccanti hanno garantito più domini C2 e indirizzi IP ridondanti presso diversi fornitori di hosting per mantenerne l'operatività. Rimanete vigili e protegete i vostri sistemi da questa minaccia persistente.
Leggi anche:
- L' IAA in difficoltà cerca clienti in tempi difficili
- Vietnam co-capogruppo della risoluzione dell'Assemblea generale delle Nazioni Unite su un vertice di emergenza sulla preparazione alle pandemie
- Iniziativa: Capilene 4 Pro con cerniera da Patagonia
- I texani invitati a definire le priorità future dell'assistenza sanitaria rurale
