Aggiornamenti recenti Settembre 11th, 2025 5:48 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Report Acronis: il ransomware rimane la minaccia principale grazie a phishing basato su IA
- Google e la privacy: sanzione multimilionaria per informazioni fuorvianti
- GPUGate, una nuova tecnica che sfrutta Google Ads e GitHub per distribuire malware
- Una vulnerabilità critica di SAP S/4HANA è stata sfruttata dai cybecriminali
- CERT-AGID 30 agosto-5 settembre: campagne contro INPS e Agenzia delle Entrate
GPUGate, una nuova tecnica che sfrutta Google Ads e GitHub per distribuire malware
I ricercatori di Arctic Wolf hanno scoperto GPUGate, una nuova tecnica di attacco che sfrutta la struttura dei repository GitHub e gli annunci su Google Ads per distribuire malware.
La catena d’attacco inizia proprio con banner Google Ads creati ad hoc, in modo che compaiano in cima alla lista dei risultati di ricerca. Cercando per esempio “GitHub Desktop”, l’annuncio malevolo veniva presentato come primo risultato e gli utenti non si pongono il problema se sia legittimo o meno.
Cliccando sull’annuncio la vittima viene fatta navigare su uno specifico commit GitHub di un repository legittimo in cui il README è stato modificato e include link malevoli per il download di software. “Integrando l’hash del commit nell’URL stesso della pagina, un attaccante può mostrare una pagina che è identica a quella originale, ma contiene le sue modifiche” spiegano i ricercatori. I link di download contenuti nel README scaricano un eseguibile malevolo che contiene il payload del malware e lo installa.
Oltre alle tecniche di attacco utilizzate, anche il malware è molto particolare: si tratta di un installer Microsoft (MSI) in grado di evadere la maggior parte delle sandbox di sicurezza; inoltre, GPUGate utilizza una routine di decrittografia basata su GPU per mantenere il payload crittografato, anche sui sistemi che non hanno una GPU reale.
GPUGate esegue uno script PowerShell anche per eludere i controlli di sicurezza e continuare a eseguire in background, assegnandosi i privilegi più elevati sul sistema. La capacità di persistere sul sistema consente inoltre al malware di “sopravvivere” a eventuali riavvii.
Gli impatti di GPUGate
Secondo il team di Arctic Wolf, l’obiettivo dei cyberattaccanti è ottenere l’accesso ai sistemi aziendali per poi sottrarre credenziali, informazioni sensibili ed eventualmente distribuire ransomware. I privilegi di amministratore consentono al malware non solo di terminare i processi di sicurezza, ma anche di disabilitare meccanismi di ripristino e cancellare file di backup, rendendo l’esecuzione di ransomware ancora più distruttiva.
Le tecniche usate nella campagna garantiscono un’esecuzione del malware “esclusiva”, solo su macchine accuratamente selezionate. “Un approccio così selettivo e accurato garantisce che solo le vittime più “interessanti” vengano infettate, mentre i ricercatori di sicurezza e persino molti prodotti di sicurezza informatica potrebbero inizialmente fallire nella loro analisi” spiegano i ricercatori.
Gli attacchi hanno preso di mira realtà del settore IT dell’Europa occidentale. A giudicare dai commenti presenti nel codice dello script Powershell, il gruppo sarebbe di origine russa. La campagna, scoperta lo scorso 19 agosto, è ancora attiva.
Oltre a utilizzare sistemi di sicurezza avanzati, i ricercatori consigliano di disabilitare l’esecuzione di script PowerShell se non strettamente necessaria e ricordano di scaricare software soltanto dal sito ufficiale del produttore.
Condividi l'articolo
Google e la privacy: sanzione multimilionaria per informazioni fuorvianti
Una vulnerabilità critica di SAP S/4HANA è stata sfruttata dai cybecriminali
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Report Acronis: il ransomware rimane la minaccia principale... Il ransomware continua a dilagare e rimane la minaccia... -
Migrazione a Windows 11: le aziende devono affrontare molte... Il prossimo 14 ottobre terminerà ufficialmente il supporto... -
IoT, i dispositivi connessi sono ancora troppo esposti alle... Il mondo dell’IoT rimane uno dei più esposti alle... -
Cisco svela un nuovo tipo di jailbreak AI: i guardrail non... I chatbot basati su modelli linguistici di grandi... -
SafePay, cresce la minaccia ransomware contro gli MSP Tra le minacce più recenti che stanno facendo tremare il...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Report Acronis: il ransomware rimane la minaccia principale... Il ransomware continua a dilagare e rimane la minaccia...
-
Google e la privacy: sanzione multimilionaria per... Google dovrà pagare una multa salata da 425 milioni per... -
GPUGate, una nuova tecnica che sfrutta Google Ads e GitHub... I ricercatori di Arctic Wolf hanno scoperto GPUGate, una... -
Una vulnerabilità critica di SAP S/4HANA è stata... I ricercatori di Security Bridge hanno scoperto che una... -
CERT-AGID 30 agosto-5 settembre: campagne contro INPS e... La scorsa settimana il CERT-AGID ha rilevato 79 campagne...
Ransomware: la serie
No posts found.