Tu GPU, nuevo aliado de los hackers: cuanto más potente la tarjeta, mayor el riesgo de ser hackeado
Una simple actualización de hardware puede abrir la puerta a tu sistema.
Investigadores de Arctic Wolf informaron sobre una nueva campaña llamada GPUGate, en la que los atacantes usan anuncios de Google y commits falsos en GitHub para distribuir malware entre empresas de TI y desarrolladores en Europa occidental. Los ataques se registran al menos desde diciembre de 2024 y se disfrazan como descargas de GitHub Desktop, sin embargo los enlaces conducen al dominio falso «gitpage[.]app», donde se aloja un instalador infectado.
La primera etapa de la infección comienza con la descarga de un instalador MSI falso de 128 MB. Ese tamaño se eligió intencionadamente para eludir muchos entornos sandbox en línea. En su interior, el código cifrado se activa solo si hay una tarjeta gráfica completa: el mecanismo de descifrado dependiente de la GPU se convirtió en una característica clave del esquema. En caso de ausencia de controladores o si se detecta un entorno virtual, la ejecución se detiene. Además, el archivo contiene una gran cantidad de datos 'basura', lo que complica el análisis.
Tras su ejecución, el malware realiza una cadena de scripts: VBScript inicia PowerShell, que obtiene permisos de administrador, desactiva las comprobaciones de Microsoft Defender para sus componentes, crea tareas en el programador de tareas para mantenerse de forma persistente y extrae un archivo con el conjunto principal de ejecutables. Las acciones posteriores están orientadas al robo de datos y a la descarga de módulos maliciosos adicionales.
Los investigadores también descubrieron que la infraestructura de los atacantes se utilizó para alojar el malware Atomic macOS Stealer (AMOS), lo que indica un enfoque multiplataforma. Así, el objetivo de los atacantes no es solo el entorno Windows, sino también los dispositivos Apple. Resulta especialmente interesante el uso de la estructura de commits de GitHub para la suplantación de enlaces: incluso si la dirección visualmente apunta a un recurso legítimo, en realidad redirige a una página falsa, eludiendo las comprobaciones de usuarios y de los sistemas de protección.
Paralelamente, expertos de Acronis publicaron datos sobre el desarrollo de otra campaña relacionada con la compromisión de ConnectWise ScreenConnect. Durante los ataques, los atacantes cargan en los hosts infectados tres programas maliciosos a la vez: AsyncRAT, PureHVNC RAT y su propio troyano en PowerShell. Este último puede ejecutar programas, descargar y ejecutar archivos, y también garantizar la persistencia del acceso. Para su propagación se utiliza el instalador ClickOnce de ScreenConnect, que no contiene configuración y carga componentes dinámicamente, lo que dificulta el análisis estático y la detección.
¿Estás cansado de que Internet sepa todo sobre ti?