Los investigadores de ciberseguridad han detallado una nueva y sofisticada campaña de malware que aprovecha los anuncios de pago en motores de búsqueda como Google para enviar malware a usuarios desprevenidos que buscan herramientas populares como GitHub Desktop.
Si bien las campañas de publicidad maliciosa se han convertido en algo habitual en los últimos años, la actividad más reciente le da un pequeño giro: incrustar una confirmación de GitHub en la URL de una página que contiene enlaces alterados que apuntan a una infraestructura controlada por un atacante.
«Incluso cuando un enlace parece apuntar a una plataforma acreditada como GitHub, la URL subyacente puede manipularse para convertirla en un sitio falsificado», dijo Arctic Wolf dijo en un informe publicado la semana pasada.
Los enlaces de la falsa confirmación de GitHub, dirigidos exclusivamente a empresas de desarrollo de software y TI de Europa occidental desde al menos diciembre de 2024, están diseñados para dirigir a los usuarios a una descarga maliciosa alojada en un dominio similar («aplicación gitpage [.]»).
El malware de primera fase que se publica con resultados de búsqueda envenenados es un instalador de software de Microsoft (MSI) de 128 MB que, debido a su tamaño, evade la mayoría de los entornos limitados de seguridad en línea existentes, mientras que una rutina de descifrado controlada por una unidad de procesamiento gráfico (GPU) mantiene la carga cifrada en los sistemas sin una GPU real. La técnica ha recibido el nombre en código GPUGate.
«Es probable que los sistemas sin los controladores de GPU adecuados sean máquinas virtuales (VM), entornos de pruebas o entornos de análisis más antiguos que suelen utilizar los investigadores de seguridad», afirma la empresa de ciberseguridad. «El ejecutable [...] usa las funciones de la GPU para generar una clave de cifrado con el fin de descifrar la carga útil y, al hacerlo, comprueba el nombre del dispositivo de la GPU».
Además de incorporar varios archivos basura como relleno y complicar el análisis, también termina la ejecución si el nombre del dispositivo tiene menos de 10 caracteres o las funciones de la GPU no están disponibles.
Posteriormente, el ataque implica la ejecución de un script de Visual Basic que lanza un script de PowerShell que, a su vez, se ejecuta con privilegios de administrador, agrega exclusiones de Microsoft Defender, configura tareas programadas para que persistan y, por último, ejecuta archivos ejecutables extraídos de un archivo ZIP descargado.
El objetivo final es facilitar el robo de información y entregar cargas útiles secundarias y, al mismo tiempo, evitar la detección. Se considera que los responsables de la campaña tienen un dominio nativo del idioma ruso, dada la presencia de comentarios en ruso en el guion de PowerShell.
Un análisis más detallado del dominio del actor de la amenaza ha revelado que actúa como base para Atomic macOS Stealer ( AMOS ), sugiriendo un enfoque multiplataforma.
«Al aprovechar la estructura de confirmación de GitHub y aprovechar Google Ads, los actores de amenazas pueden imitar de manera convincente los repositorios de software legítimos y redirigir a los usuarios a cargas maliciosas, sin pasar por alto el escrutinio de los usuarios y las defensas de los terminales», dijo Arctic Wolf.
La revelación se produce cuando Acronis detalló la evolución continua de una campaña troyanizada de ConnectWise ScreenConnect que utiliza el software de acceso remoto para eliminar asíncrata , PureHVNC RAT y un troyano de acceso remoto (RAT) personalizado basado en PowerShell contra los anfitriones infectados en ataques de ingeniería social dirigidos contra organizaciones estadounidenses desde marzo de 2025.
El PowerShell RAT personalizado, ejecutado mediante un archivo JavaScript descargado del servidor ScreenConnect descifrado, proporciona algunas funcionalidades básicas, como la ejecución de programas, la descarga y ejecución de archivos y un mecanismo de persistencia simple.
«Los atacantes ahora utilizan un instalador de ClickOnce Runner para ScreenConnect, que carece de configuración integrada y, en cambio, busca los componentes en tiempo de ejecución», dijo el proveedor de seguridad dijo . «Esta evolución hace que los métodos tradicionales de detección estática sean menos efectivos y complica la prevención, lo que deja a los defensores con pocas opciones confiables».