Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

GPUGate Malware Uses Google Ads and Fake GitHub Commits to Target IT Firms

4 minute de lecture

Mis à jour :

Campagne Malveillante GPUGate : Exploitation des Publicités Google et des Fausses Commits GitHub

Une nouvelle campagne de malvertising sophistiquée cible des entreprises informatiques et de développement logiciel en Europe occidentale depuis au moins décembre 2024. Les attaquants utilisent des publicités frauduleuses sur des moteurs de recherche comme Google pour distribuer un malware. Ces publicités redirigent les utilisateurs, cherchant des outils légitimes comme GitHub Desktop, vers des sites frauduleux imitant des plateformes réputées. La structure des URLs, incluant des fausses “commits” GitHub, est manipulée pour tromper les utilisateurs et les rediriger vers une infrastructure sous le contrôle des attaquants.

Le premier stade de l’attaque consiste en un installateur MSI volumineux (128 Mo) conçu pour échapper aux sandboxes de sécurité en ligne. Un mécanisme de décryptage spécifique aux GPU, baptisé GPUGate, empêche l’exécution du payload sur des systèmes dépourvus d’un véritable GPU, souvent utilisés par les chercheurs en sécurité (machines virtuelles, sandboxes). L’exécutable génère une clé de chiffrement en utilisant des fonctions GPU et vérifie la présence et le nom du périphérique GPU pour s’assurer qu’il n’est pas dans un environnement d’analyse. Le malware refuse également de s’exécuter si le nom du périphérique est court ou si les fonctions GPU ne sont pas disponibles.

Une fois ces vérifications effectuées, un script Visual Basic lance un script PowerShell avec des privilèges administrateur. Ce dernier ajoute des exclusions à Microsoft Defender, établit des tâches planifiées pour assurer sa persistance et exécute des fichiers extraits d’une archive ZIP téléchargée. L’objectif final est le vol d’informations et le déploiement de charges utiles secondaires, tout en cherchant à éviter la détection. Des commentaires en russe dans le script PowerShell suggèrent une maîtrise de cette langue par les acteurs de la menace. Des analyses ont également révélé que le domaine utilisé sert de point de départ pour la distribution du voleur d’informations AMOS (Atomic macOS Stealer), indiquant une approche multiplateforme.

Parallèlement, une autre campagne évolutive a été observée, impliquant des installateurs de ConnectWise ScreenConnect compromis, qui déploient plusieurs RAT (Remote Access Trojan) sur les systèmes infectés, tels que AsyncRAT et PureHVNC RAT, ainsi qu’un RAT personnalisé basé sur PowerShell. L’utilisation d’un installateur ClickOnce pour ScreenConnect, qui récupère les composants à l’exécution, complique la détection statique traditionnelle.

Points Clés :

  • Malvertising ciblé : Utilisation de publicités Google pour diffuser des malwares.
  • Imitation de plateformes légitimes : Sites frauduleux imitant des dépôts GitHub pour tromper les utilisateurs.
  • Technique GPUGate : Décryptage du payload lié à la présence et aux fonctions d’un GPU, ciblant les environnements d’analyse.
  • Évasion des sandboxes : Utilisation d’un fichier MSI volumineux pour contourner les analyses automatisées.
  • Persistance et élévation de privilèges : Utilisation de scripts PowerShell pour maintenir l’accès et le contrôle.
  • Objectif : Vol d’informations et déploiement de charges utiles secondaires.
  • Approche multiplateforme : Distribution potentielle sur macOS via AMOS.
  • Campagne connexe : Évolution des attaques via des installateurs ConnectWise ScreenConnect compromis.

Vulnérabilités :

  • Bien qu’aucun CVE spécifique ne soit mentionné pour les vulnérabilités exploitées, la campagne exploite l’ingénierie sociale, la confiance dans les marques (Google, GitHub) et les failles dans la détection des malwares (taille des fichiers, techniques d’évasion). L’absence de configuration embarquée dans les installateurs ClickOnce rend la détection statique inefficace.

Recommandations :

  • Vérification rigoureuse des URLs : Examiner attentivement les liens, même ceux provenant de résultats de recherche ou semblant pointer vers des plateformes connues.
  • Prudence avec les téléchargements : Télécharger les logiciels uniquement à partir des sites officiels des éditeurs.
  • Mise à jour et sécurité des systèmes : Maintenir les systèmes d’exploitation et les logiciels antivirus à jour.
  • Sensibilisation des utilisateurs : Former les employés à reconnaître les tentatives de phishing et de malvertising.
  • Surveillance du trafic réseau : Mettre en place des mesures pour détecter les communications suspectes avec des serveurs inconnus.
  • Isolation des environnements d’analyse : Si possible, utiliser des environnements d’analyse non dépendants de la présence d’un GPU spécifique pour le décryptage.

Source

Vous pourriez aimer

Weekly Update 484

1 minute de lecture

Mis à jour :

Mises à jour hebdomadaires et aperçu des menaces