Aggiornamenti recenti Aprile 17th, 2026 2:21 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- L’App europea di verifica dell’età è stata bucata in due minuti
- Recovery scam: quando la truffa colpisce due volte
- Supply chain: il 69% delle aziende pronto a co-finanziare la sicurezza
- Donne e cybersecurity: crescono le nuove leve e alcune sfide
- Social media vietati ai minori? In Australia non sta funzionando
GPUGate, una nuova tecnica che sfrutta Google Ads e GitHub per distribuire malware
I ricercatori di Arctic Wolf hanno scoperto GPUGate, una nuova tecnica di attacco che sfrutta la struttura dei repository GitHub e gli annunci su Google Ads per distribuire malware.
La catena d’attacco inizia proprio con banner Google Ads creati ad hoc, in modo che compaiano in cima alla lista dei risultati di ricerca. Cercando per esempio “GitHub Desktop”, l’annuncio malevolo veniva presentato come primo risultato e gli utenti non si pongono il problema se sia legittimo o meno.
Cliccando sull’annuncio la vittima viene fatta navigare su uno specifico commit GitHub di un repository legittimo in cui il README è stato modificato e include link malevoli per il download di software. “Integrando l’hash del commit nell’URL stesso della pagina, un attaccante può mostrare una pagina che è identica a quella originale, ma contiene le sue modifiche” spiegano i ricercatori. I link di download contenuti nel README scaricano un eseguibile malevolo che contiene il payload del malware e lo installa.
Oltre alle tecniche di attacco utilizzate, anche il malware è molto particolare: si tratta di un installer Microsoft (MSI) in grado di evadere la maggior parte delle sandbox di sicurezza; inoltre, GPUGate utilizza una routine di decrittografia basata su GPU per mantenere il payload crittografato, anche sui sistemi che non hanno una GPU reale.
GPUGate esegue uno script PowerShell anche per eludere i controlli di sicurezza e continuare a eseguire in background, assegnandosi i privilegi più elevati sul sistema. La capacità di persistere sul sistema consente inoltre al malware di “sopravvivere” a eventuali riavvii.
Gli impatti di GPUGate
Secondo il team di Arctic Wolf, l’obiettivo dei cyberattaccanti è ottenere l’accesso ai sistemi aziendali per poi sottrarre credenziali, informazioni sensibili ed eventualmente distribuire ransomware. I privilegi di amministratore consentono al malware non solo di terminare i processi di sicurezza, ma anche di disabilitare meccanismi di ripristino e cancellare file di backup, rendendo l’esecuzione di ransomware ancora più distruttiva.
Le tecniche usate nella campagna garantiscono un’esecuzione del malware “esclusiva”, solo su macchine accuratamente selezionate. “Un approccio così selettivo e accurato garantisce che solo le vittime più “interessanti” vengano infettate, mentre i ricercatori di sicurezza e persino molti prodotti di sicurezza informatica potrebbero inizialmente fallire nella loro analisi” spiegano i ricercatori.
Gli attacchi hanno preso di mira realtà del settore IT dell’Europa occidentale. A giudicare dai commenti presenti nel codice dello script Powershell, il gruppo sarebbe di origine russa. La campagna, scoperta lo scorso 19 agosto, è ancora attiva.
Oltre a utilizzare sistemi di sicurezza avanzati, i ricercatori consigliano di disabilitare l’esecuzione di script PowerShell se non strettamente necessaria e ricordano di scaricare software soltanto dal sito ufficiale del produttore.
Condividi l'articolo
Google e la privacy: sanzione multimilionaria per informazioni fuorvianti
Una vulnerabilità critica di SAP S/4HANA è stata sfruttata dai cybecriminali
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Recovery scam: quando la truffa colpisce due volte Nel panorama delle minacce informatiche, esiste una... -
Strategia cybersecurity USA verso un modello più assertivo... Nel mese scorso, il governo degli USA ha rilasciato un... -
Proxy residenziali: quando la reputazione degli IP smette... Secondo un’analisi pubblicata da GreyNoise, basata su... -
Vertex AI e il rischio dei “double agent” AI Un recente studio della Unit 42 di Palo Alto ha messo in... -
Vibecoding: l’AI accelera lo sviluppo ma moltiplica i... Il concetto di vibecoding – ovvero la generazione di...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
L’App europea di verifica dell’età è stata bucata in... La nuova app europea per la verifica dell’età,... -
Recovery scam: quando la truffa colpisce due volte Nel panorama delle minacce informatiche, esiste una...
-
Supply chain: il 69% delle aziende pronto a co-finanziare... Sembra che il mercato inizi a considerare una cosa... -
Donne e cybersecurity: crescono le nuove leve e alcune La cybersecurity italiana continua a crescere, ma la... -
Social media vietati ai minori? In Australia non sta... Qualcuno ricorderà che qualche mese fa è stato annunciato...
Ransomware: la serie
No posts found.