GPugate kötü amaçlı yazılım, gelişmiş yükler sunmak için meşru platformlardan yararlanır


Güvenilir platformlardan ve donanıma bağımlı kaçırma tekniklerinden yararlanan gelişmiş yeni kötü amaçlı yazılım kampanyası, Batı Avrupa’daki BT profesyonellerini hedefliyor.

Siber güvenlik araştırmacıları, Google Reklamları ve GitHub’ın altyapısını “GPugate” adlı yeni bir yük sunmak için akıllıca kullanan son derece karmaşık bir kötü amaçlı yazılım dağıtım kampanyası ortaya çıkardılar.

İlk olarak Arktik Wolf’un Siber Güvenlik Operasyon Merkezi tarafından 19 Ağustos 2025’te tanımlanan kampanya, geleneksel güvenlik analiz ortamlarını atlamak için grafik işleme birimi (GPU) gereksinimlerini kullanarak kötü amaçlı kaçaklama tekniklerinde önemli bir evrimi temsil ediyor.

Gerçek Google arama sonuçlarının üstünde, “sponsorlu” reklam konumunda gösterilen tehdit aktörleri tarafından oluşturulan kötü niyetli Google reklamı.
Gerçek Google arama sonuçlarının üstünde, “sponsorlu” reklam konumunda gösterilen tehdit aktörleri tarafından oluşturulan kötü niyetli Google reklamı.

Saldırı, tehdit aktörlerinin kullanıcılar “GitHub masaüstü” aradığında arama sonuçlarının en üstünde görünen Google reklamları satın aldığı dikkatle düzenlenmiş bir kötüverizasyon şemasıyla başlar.

Bu sponsorlu reklamlar meşru GitHub markasını ve kullanıcıları resmi bir GitHub depo sayfası gibi görünen şeylere yönlendirir.

Bununla birlikte, saldırganlar Github’un aldatmacalarını yaratmak için taahhüt yapısını ustaca manipüle ettiler.

Tamamen sahte bir web sitesine ev sahipliği yapmak yerine, suçlular meşru GitHub depoları içinde özel taahhütler yaratarak, kötü amaçlı indirme bağlantıları içerecek şekilde ReadMe dosyalarını değiştirir.

Taahhütlere özgü URL’leri kullanarak, kötü niyetli içeriklerine hizmet ederken, orijinal deponun tüm meşru meta verilerini (yıldız sayıları, katkıda bulunanlar ve depo adları dahil) tutan sayfaları görüntüleyebilirler.

Manipülasyon, şüphesiz kullanıcılar için neredeyse görünmez hale gelir. Mağdurlar kötü amaçlı reklamları tıkladıklarında, Github’ın uyarı bayrağını akıllı URL demirleme teknikleri aracılığıyla atlayan belirli bir taahhüt görüşüne yönlendirilirler.

Tarayıcı Dikkat: İmlecinizi daima mavi altı çizili köprünün üzerine getirin ve sol alt köşedeki adres çubuğunu kontrol edin.
Tarayıcı Dikkat: İmlecinizi daima mavi altı çizili köprünün üzerine getirin ve sol alt köşedeki adres çubuğunu kontrol edin.

Bu uzlaştırılmış sayfalardaki indirme bağlantıları, kullanıcıları saldırgan kontrollü alan adına yönlendirir “GitPage[.]Uygulama ”GitHub’ın resmi sürüm altyapısı yerine.

Devrimci GPU geçitli kaçırma

Kötü amaçlı yazılım yükü, anti-analiz tekniklerinde bir atılımı temsil eder. “Githubdesktopsetup-x64.exe” olarak görünen ilk yükleyici, genellikle büyük dosya yüklemelerini kısıtlayan güvenlik sanal alan sınırlamalarından kaçınmak için tasarlanmış şişirilmiş bir 128 MB Microsoft Yazılım Yükleyici (MSI) dosyasıdır.

İlk aşama, 0x5A anahtarlı XOR kullanılarak şifre çözülür. Yükün ikinci aşama şifre çözme için bir anahtar oluşturan kodu başlatır.

Şifre çözme uygulaması.
Şifre çözme uygulaması.

Gerçek inovasyon, GPugate’in şifre çözme mekanizmasında yatmaktadır. Kötü amaçlı yazılım, sadece meşru GPU donanımı ile donatılmış sistemlerde kriptografik anahtar üretimi gerçekleştiren bir OpenCL çekirdeği kullanır.

Şifre rutinasyon rutini, özellikle GPU aygıt adı uzunluklarını kontrol eder – yükün şifrelemesine devam etmek için 10 karakterden daha uzun isimleri gerektirir.

Bu donanım gereksinimi, tipik olarak “VMware SVGA” (tam olarak 10 karakter) gibi genel GPU adlarına sahip sanal makineleri ve analiz ortamlarını etkili bir şekilde filtrelerken, meşru oyun veya iş istasyonu GPU’lar “NVIDIA GEFORCE RTX 4090” (25 karakter) gibi daha uzun isimler taşır.

Bu çek başarısız olan sistemler sahte bir şifre çözme anahtarı alır ve yükü kalıcı olarak şifreli ve inert bırakır.

Kampanya, MacOS kullanıcılarını hedeflemek için Windows sistemlerinin ötesine uzanan dikkate değer bir kapsamı göstermektedir. Aynı altyapı, tespit edilen işlemci mimarisine bağlı olarak AMOS Stealer’ın (Atomik Stealer olarak da bilinir) farklı varyantlarına hizmet eder – Intel X64 veya Apple ARM yongaları.

Bu platformlar arası özellik potansiyel kurban havuzunu önemli ölçüde genişletir ve operatörlerin sofistike teknik yeteneklerini gösterir.

İlk olarak Nisan 2023’te keşfedilen Amos Stealer, anahtarlık şifrelerini, VPN profillerini, tarayıcı kimlik bilgilerini, kripto para birimi cüzdanlarını ve anlık messenger verilerini hasat edebilen bir bilgi çalma kötü amaçlı yazılımı olarak işlev görür.

Kötü amaçlı yazılım, yeraltı forumları ve telgraf kanalları aracılığıyla satılan bir hizmet olarak kötü amaçlı yazılım modeli altında çalışır.

Hedefleme stratejisi ve ilişkilendirme

İstihbarat analizi, kampanyanın özellikle Batı Avrupa ülkelerindeki BT uzmanlarını hedeflediğini ve meşruiyet ve görünürlüğü artırmak için “bilgisayarlar ve tüketici elektroniği” altında kategorize edilen Google reklamlarından yararlandığını ortaya koyuyor.

GitHub masaüstü gibi geliştirme araçlarını düzenli olarak indiren teknik profesyonellere stratejik odaklanma, yüksek değer hedeflerini yüksek ağ ayrıcalıklarına sahip olmak için hesaplanmış bir yaklaşımı temsil etmektedir.

Atıf kanıtları, Rusça konuşan tehdit aktörlerine işaret ediyor ve PowerShell senaryoları Yerli Rusça yazılı yorumlar tarafından kanıtlanıyor.

Dikkate değer bir yorum, “Yönetici değilseniz, UAC’yi bir kez isteyin ve dışarı çıkın,“ Yönetici anlamına gelir, UAC’yi bir kez talep eder ve “kötü amaçlı yazılımların ayrıcalıkları mantığını ortaya çıkarır.

Yürütüldükten sonra GPugate, tespitten kaçınırken uzun vadeli erişimi sürdürmek için tasarlanmış sofistike kalıcılık tekniklerini gösterir.

Kötü amaçlı yazılım, kullanıcının % AppData % dizinine kopyalanır, meşru Windows hizmetlerini taklit etmek için “winsvcupd” adlı planlanmış görevler oluşturur ve sistematik olarak kritik dizinler için Windows Defender hariç tutarlar ekler.

Yük, farklı barındırma sağlayıcılarında birden fazla gereksiz alan ve IP adresiyle komut ve kontrol iletişimi oluşturur ve potansiyel altyapı yayından kaldırmalarına rağmen operasyonel sürekliliği sağlar.

Modüler tasarım, operatörlerin sistem özelliklerine ve operasyonel gereksinimlere göre ek yükler dağıtmalarını sağlar.

Siber güvenlik savunması için çıkarımlar

GPugate kampanyası, geleneksel kötü amaçlı yazılım analiz metodolojilerine temel olarak meydan okuyor.

Yük yüklemesi için belirli donanım konfigürasyonları gerektirerek, teknik standart sanal alan ortamlarını etkisiz hale getirir ve güvenlik araştırmacılarını araştırmalar için özel altyapı dağıtmaya zorlar.

Kampanyanın Ağustos 2025’te gözlemlenen aktif altyapıya yayılan sekiz aylık operasyonel zaman çizelgesi, sürekli yetenek ve devam eden kalkınma döngülerini göstermektedir.

Batı Avrupalı ​​BT profesyonellerinin münhasır hedeflemesi, tedarik zinciri saldırıları, kimlik bilgisi hırsızlığı ve yan ağ hareketi potansiyeli ile daha yüksek değerli uzlaşmalar karşılığında daha düşük enfeksiyon hacimlerini kabul ederek hesaplanmış bir risk ödül optimizasyonunu temsil eder.

Google Reklamlar ve GitHub gibi güvenilir platformların sofistike kötüye kullanılması, donanıma bağımlı kaçınma teknikleri ile birleştiğinde, bu kampanyanın tehdit manzarasında benzer metodolojilerin daha geniş bir şekilde benimsenmesine ilham verebileceğini öne sürüyor.

Kuruluşlar, güvenlik stratejilerini meşru ve kötü niyetli altyapı kullanımı arasındaki çizgileri bulanıklaştıran bu gelişen teknikleri hesaba katmak için uyarlamalıdır.

Kampanya bu analiz sırasında aktif olarak kaldıkça, güvenlik ekipleri olağandışı GPU ile ilgili süreçler için gelişmiş izleme uygulamalı, güvenilir platformlardan bile indirme kaynaklarını incelemeli ve bu ortaya çıkan kaçınma tekniğiyle mücadele etmek için meşru GPU donanımı ile donatılmış analiz ortamlarını dağıtmayı düşünmelidir.

Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.



Source link