Siber güvenlik araştırmacıları, GitHub masaüstü gibi popüler araçlar arayan şüphesiz kullanıcılara kötü amaçlı yazılım sunmak için Google gibi arama motorlarında ücretli reklamlardan yararlanan yeni bir gelişmiş kötü amaçlı yazılım kampanyası detaylandırdı.
Kötüverizasyon kampanyaları son yıllarda yaygın hale gelse de, en son etkinlik ona kendi başına biraz bükülme sağlar: bir Github taahhüdünü, saldırgan kontrollü altyapıya işaret eden değiştirilmiş bağlantılar içeren bir sayfa URL’sine gömmek.
Arctic Wolf, geçen hafta yayınlanan bir raporda, “Bir bağlantı GitHub gibi saygın bir platforma işaret ediyor gibi görünse bile, altta yatan URL sahte bir siteye çözmek için manipüle edilebilir.” Dedi.
En azından Aralık 2024’ten bu yana Batı Avrupa’daki BT ve yazılım geliştirme şirketlerini sadece hedef aldı, Rogue Github taahhüdündeki bağlantılar, kullanıcıları benzer bir alanda (“GitPage[.]uygulama”).
Zehirli arama sonuçları kullanılarak sunulan birinci aşama kötü amaçlı yazılım, boyutu nedeniyle, mevcut çevrimiçi güvenlik sanal alanlarının çoğunu (GPU) kaplanmış bir şifreleme rutini, gerçek bir GPU olmadan sistemlerde şifrelenen bir grafik işleme ünitesi (GPU)-kapılı şifreleme rutininden kaçan şişirilmiş bir 128 MB Microsoft Yazılım Yükleyicisi (MSI) ‘dır. Teknik GPUGATE olarak kodlanmıştır.
Siber güvenlik şirketi, “Uygun GPU sürücüleri olmayan sistemlerin sanal makineler (VM’ler), kum havuzları veya güvenlik araştırmacılarının yaygın olarak kullandığı eski analiz ortamları olması muhtemeldir.” Dedi. “Yürütülebilir […] GPU işlevlerini, yükü çözmek için bir şifreleme anahtarı oluşturmak için kullanır ve GPU aygıt adını bunun gibi kontrol eder. “
Birkaç çöp dosyasını dolgu maddesi olarak dahil etmenin yanı sıra, cihaz adı 10 karakterden azsa veya GPU işlevleri mevcut değilse yürütmeyi de sonlandırır.
Saldırı daha sonra, bir PowerShell komut dosyasını başlatan, yönetici ayrıcalıklarıyla çalışan bir Visual Basic betiğinin yürütülmesini gerektirir, Microsoft Defender istisnalarını ekler, kalıcılık için planlanan görevleri ayarlar ve son olarak indirilmiş bir fermuar arşivinden çıkarılan yürütülebilir dosyalar çalıştırır.
Nihai hedef, aynı anda algılamadan kaçarken bilgi hırsızlığı ve ikincil yükler sunmaktır. Kampanyanın arkasındaki tehdit aktörlerinin, PowerShell senaryosunda Rus dili yorumlarının varlığı göz önüne alındığında, yerel Rus dil yeterliliğine sahip oldukları değerlendirildi.
Tehdit oyuncusu alanının daha fazla analizi, atomik macOS stealer (AMOS) için bir evreleme alanı olarak hareket ettiğini ortaya koydu ve platformlar arası bir yaklaşım olduğunu gösterdi.
Arctic Wolf, “Github’ın taahhüt yapısını kullanarak ve tehdit aktörleri, meşru yazılım depolarını ikna edici bir şekilde taklit edebilir ve kullanıcıları hem kullanıcı incelemesini hem de uç nokta savunmalarını atlayarak kullanıcıları yönlendirebilir.”
Açıklama, Acronis’in, Mart 2025’ten bu yana ABD kuruluşlarında enfekte olmuş konakçılarda Asyncrat, PurEHVNC sıçanı ve özel bir Powershell tabanlı uzaktan erişim truva atı (sıçan) için uzaktan erişim yazılımını kullanan truva atlı bir Connectwise Screenconnect kampanyasının devam eden evrimini ayrıntılı olarak açıklamaktadır.
Çatlak ScreAnconnect sunucusundan indirilen bir JavaScript dosyası aracılığıyla yürütülen ısmarlama PowerShell Rat, programları çalıştırma, dosyaları indirme ve yürütme ve basit bir kalıcılık mekanizması gibi bazı temel işlevler sağlar.
Güvenlik satıcısı, “Saldırganlar artık Screenconnect için gömülü yapılandırmadan yoksun ve bunun yerine çalışma zamanında bileşenleri getiren bir Clickonce Runner yükleyicisi kullanıyor.” Dedi. “Bu evrim, geleneksel statik algılama yöntemlerini daha az etkili hale getirir ve önlemeyi karmaşıklaştırır ve savunucuları birkaç güvenilir seçenekle bırakır.”