GPUGate Malware Usa Anúncios do Google e Commits Falsos no GitHub para Atacar Empresas de TI

Pesquisadores de segurança cibernética detalharam uma nova campanha de malware sofisticada que utiliza anúncios pagos em mecanismos de busca como o Google para distribuir malware para usuários que buscam ferramentas populares como o GitHub Desktop.

A campanha, batizada de GPUGate, é direcionada exclusivamente a empresas de TI e desenvolvimento de software da Europa Ocidental desde dezembro de 2024. Os ataques incorporam commits do GitHub em URLs manipuladas que redirecionam para infraestrutura controlada pelos atacantes.

O malware de primeiro estágio é um instalador MSI de 128 MB que evita sandboxes de segurança devido ao seu tamanho. Ele utiliza uma rotina de descriptografia baseada em GPU que mantém o payload criptografado em sistemas sem uma GPU real - uma técnica para evitar ambientes de análise virtualizados.

O ataque subsequentemente executa scripts que obtêm privilégios de administrador, adicionam exclusões ao Microsoft Defender, configuram tarefas agendadas para persistência e finalmente executam arquivos para facilitar roubo de informações e entregar payloads secundários.

A análise sugere que os autores da campanha têm proficiência em russo. O domínio dos atacantes também serve como base para o Atomic macOS Stealer (AMOS), indicando uma abordagem multiplataforma.

Paralelamente, a Acronis detalhou a evolução de uma campanha de ConnectWise ScreenConnect trojanizado que distribui vários RATs (AsyncRAT, PureHVNC RAT e um RAT personalizado baseado em PowerShell) em ataques de engenharia social contra organizações dos EUA desde março de 2025.