بدافزار GPUGate؛ حمله جدید با تبلیغات گوگل و کامیت‌های جعلی گیت‌هاب

پژوهشگران امنیت سایبری کمپین بدافزاری پیچیده‌ای را به نام بدافزار GPUGate شناسایی کرده‌اند که از تبلیغات پولی گوگل (Google Ads) و کامیت‌های جعلی در گیت‌هاب برای فریب کاربران و آلوده‌سازی سیستم‌ها استفاده می‌کند. این حمله عمدتاً شرکت‌های فناوری اطلاعات و توسعه نرم‌افزار در اروپای غربی را هدف قرار داده است.

🚨 روش حمله بدافزار GPUGate

• مهاجمان با سوءاستفاده از تبلیغات جستجو، کاربرانی را که به دنبال ابزارهای محبوبی مثل GitHub Desktop هستند، به دام می‌اندازند.

• در ظاهر، لینک‌ها به گیت‌هاب معتبر اشاره دارند، اما URL‌ها دستکاری شده‌اند تا کاربر را به دامنه مخربی مانند gitpage[.]app هدایت کنند.

• فایل اولیه آلوده، یک نصب‌کننده مایکروسافت (MSI) با حجم 128 مگابایت است که به دلیل حجم بالا، از بیشتر سندباکس‌های امنیتی فرار می‌کند.

🖥️ تکنیک بدافزار GPUGate

یکی از نوآوری‌های این کمپین، استفاده از GPU برای رمزگشایی بدافزار است:

• اگر سیستم فاقد GPU واقعی یا در محیط‌های مجازی باشد، بدافزار رمزگشایی نمی‌شود.

• این روش باعث می‌شود بدافزار از تحلیل در محیط‌های آزمایشگاهی و سندباکس‌ها فرار کند.

• بدافزار حتی بررسی می‌کند که نام دستگاه GPU کمتر از ۱۰ کاراکتر نباشد تا اجرای کد متوقف شود.

⚡ زنجیره حمله

1. اجرای یک اسکریپت Visual Basic → اجرای PowerShell با سطح دسترسی مدیر.

2. ایجاد استثنا در Microsoft Defender و افزودن وظایف زمان‌بندی‌شده برای پایداری.

3. بارگذاری و اجرای فایل‌های آلوده از یک آرشیو ZIP دانلودشده.

4. در نهایت: سرقت اطلاعات، نصب بدافزارهای ثانویه و دور زدن سیستم‌های امنیتی.