“GPugate” olarak adlandırılan gelişmiş bir kötü amaçlı yazılım kampanyası, Google reklamlarını ve GitHub’ın depo yapısını kullanıcıları kötü amaçlı yazılımlar indirmeye kandırmak için kötüye kullanıyor.
Arctic Wolf Siber Güvenlik Operasyon Merkezi olan saldırı zinciri, bir bilgisayarın grafik işleme biriminden (GPU) yararlanarak güvenlik analizinden kaçmak için yeni bir teknik kullanıyor.
Kampanya, Rusça konuşan bir tehdit oyuncusunun çalışması gibi görünüyor ve Batı Avrupa’daki BT uzmanlarını aktif olarak hedefliyor.
Saldırı, saldırganların “GitHub masaüstü” gibi terimler için Google arama sonuçlarının en üstüne sponsorlu bir reklam yerleştirdiği kötü niyetli reklamlarla başlar. Bu reklam, kullanıcıları meşru bir GitHub sayfası gibi görünen şeylere yönlendirir.
Gerçekte, bağlantı bir depo içinde belirli, manipüle edilmiş bir “taahhüt” sayfasına yol açar. Bu sayfa otantik görünüyor, deponun adını ve meta verilerini koruyuyor, ancak saldırgan kontrollü bir alana işaret eden değiştirilmiş indirme bağlantıları içeriyor.
Bu “Güven Köprüsü”, kötü amaçlı yükü sunmak için kullanıcının hem Google hem de GitHub’a olan güvenini kullanır.
GPugate’i özellikle dikkate değer kılan şey, benzersiz kaçırma yöntemidir. İlk yükleyici, genellikle dosya boyutu sınırlarına sahip güvenlik kum havuzlarını atlamak için tasarlanmış büyük bir 128 MB dosyasıdır.
En yenilikçi özelliği GPU geçitli bir şifre çözme rutinidir. Arctic Wolf, kötü amaçlı yazılımın, on karakterden daha uzun bir cihaz adına sahip gerçek, fiziksel bir GPU algılaması durumunda kötü niyetli yükünün şifresini çözeceğini söyledi.
Güvenlik araştırmacıları tarafından kullanılan sanal makineler ve kum havuzları genellikle genel, kısa GPU isimleri veya hiç GPU’ya sahip olmadığından, bu analizi önlemek için kasıtlı bir taktiktir. Bu tür sistemlerde, yük şifreli ve inert olarak kalır.
Bu kampanyanın birincil amacı, kimlik bilgisi hırsızlığı, veri eksfiltrasyonu ve fidye yazılımı dağıtım dahil olmak üzere kötü amaçlı faaliyetler için organizasyonel ağlara ilk erişim elde etmektir.
Github masaüstü gibi araçlar arayabilirler, geliştiricileri ve BT işçilerini hedefleyerek saldırganlar, ağ ayrıcalıklarına sahip kurbanları hedefliyorlar.
Uygulandıktan sonra, kötü amaçlı yazılım, idari haklar elde etmek, kalıcılık için planlanan görevler oluşturmak ve algılamayı önlemek için Windows Defender’a istisnalar eklemek için bir PowerShell komut dosyası kullanır. Kampanya en azından Aralık 2024’ten beri aktif ve gelişen ve önemli bir tehdidi temsil ediyor.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.