Los investigadores de ciberseguridad detallan nuevas campañas de malware sofisticadas que aprovechan la publicidad pagada en motores de búsqueda como Google para proporcionar malware a usuarios desprevenidos que buscan herramientas populares como escritorios Github.
Las campañas de malvertimiento se han vuelto comunes en los últimos años, pero las últimas actividades les han dado un poco de giro por su cuenta. Incrustar una confirmación de GitHub en una URL de página que contiene un enlace modificado que apunta a la infraestructura controlada por el atacante.
«Incluso si un enlace parece referirse a una plataforma de buena reputación como GitHub, aún puede manipular la URL subyacente para resolverla a un sitio forjado», dijo Arctic Wolf en un informe publicado la semana pasada.
Desde al menos diciembre de 2024, solo se ha dirigido a compañías de desarrollo de software en Europa occidental. Los enlaces dentro de la confirmación de RogueGithub están diseñados para inyectar a los usuarios en descargas maliciosas alojadas en el dominio de la apariencia («GitPage (.) App»).
El malware de la primera etapa entregado con resultados de búsqueda adictos es un instalador de software de Microsoft (MSI) de 128 MB hinchado, cuyo tamaño evita la mayoría de los sandboxes de seguridad en línea existentes, y la rutina de decoración de la puerta de la unidad de procesamiento gráfico (GPU) encripta el piloads en el sistema sin la GPU real. Esta técnica se llama Codename Gpugate.
«Es probable que un sistema sin el controlador de GPU correcto sea una máquina virtual (VM), Sandbox o un entorno analítico más antiguo comúnmente utilizado por los investigadores de seguridad», dijo la compañía de seguridad cibernética. «El ejecutable (…) utiliza funciones de GPU para generar una clave de cifrado para descifrar la carga útil y verificar el nombre del dispositivo GPU».
Además de incorporar algunos archivos de basura como rellenos para incorporar un análisis complejo, también termina la ejecución si el nombre del dispositivo tiene menos de 10 caracteres o si no hay funciones de GPU disponibles.
El ataque implica ejecutar un script de Visual Basic que lanza un script de PowerShell. Esto se ejecuta con los privilegios del administrador, agrega exclusiones de Microsoft Defender, establece tareas programadas para la persistencia y ejecuta el archivo ejecutable extraído del último archivo de ZIP descargado.
El objetivo final es promover el robo de información, proporcionar cargas útiles secundarias y evitar la detección al mismo tiempo. Dada la presencia de comentarios rusos en los guiones de PowerShell, los actores de amenaza detrás de la campaña son calificados por tener competencia nativa rusa.
Un análisis adicional del dominio de los actores de amenaza revela que sirve como la base de la base de la base de Atomic Makos Steelers (AMO), lo que sugiere un enfoque multiplataforma.
«Al aprovechar la estructura de confirmación de Github y aprovechar los anuncios de Google, los actores de amenaza pueden imitar de manera convincente repositorios de software legales y redirigir a los usuarios a las cargas útiles maliciosas.
La divulgación se produce cuando Acronis ha detallado la evolución continua de la campaña de captura de pantalla de Connectwise Troyanizada utilizando un software de acceso remoto para eliminar hosts infectados de ataques de ingeniería social específicos desde marzo de 2025 en adelante utilizando asyncrat, ratas PureHVNC y las trutas de acceso remoto basados en PowerShell personalizados (ratas).
Una rata PowerShell a medida, dirigida por archivos JavaScript descargados desde el servidor SCRIPENConnect Cracked, proporciona funcionalidad básica, como ejecutar programas, descarga y ejecución de archivos, y un mecanismo de persistencia simple.
«Los atacantes ahora usan el instalador de Runner de Clickonce para Screenconnect, que no tiene una configuración incorporada y, en su lugar, recupera los componentes en tiempo de ejecución», dijo el proveedor de seguridad. «Esta evolución ha llevado a que la falta de métodos de detección estática tradicionales sea menos efectivo, complicando la prevención y pocas opciones para que los defensores confíen».
Source link
