Investigadores en ciberseguridad han descubierto una sofisticada campaña de malvertising que utiliza anuncios en Google para distribuir malware disfrazado de descargas legítimas, especialmente dirigido a empresas de TI y desarrollo de software en Europa Occidental.

A diferencia de otras campañas similares, esta incorpora un giro particular: insertar un commit de GitHub manipulado en la URL, redirigiendo a las víctimas hacia infraestructura controlada por los atacantes.

“Incluso cuando un enlace parece llevar a una plataforma confiable como GitHub, el URL subyacente puede ser manipulado para dirigir al usuario a un sitio falso”, explicó Arctic Wolf en un informe reciente.

Commits maliciosos y dominios falsos

Desde al menos diciembre de 2024, los atacantes han atraído a usuarios que buscan herramientas como GitHub Desktop hacia un dominio fraudulento (gitpage[.]app) que aloja descargas maliciosas.

El primer archivo entregado es un instalador de Microsoft (MSI) de 128 MB, intencionalmente inflado para evadir entornos de análisis de seguridad en línea. Una vez ejecutado, activa una técnica de desencriptado dependiente de GPU—denominada GPUGate—que mantiene la carga útil cifrada a menos que el sistema comprometido cuente con una tarjeta gráfica real.

Este método permite evadir máquinas virtuales, sandboxes y entornos de análisis antiguos, que a menudo carecen de controladores de GPU.

Técnicas avanzadas de evasión

El ejecutable genera claves de desencriptado usando funciones de GPU y verifica el nombre del dispositivo gráfico. Si estas funciones no están disponibles o el nombre del dispositivo tiene menos de 10 caracteres, el malware cancela su ejecución.

Además, el instalador incluye archivos basura para dificultar el análisis. Una vez en marcha, ejecuta un script de Visual Basic que lanza un script de PowerShell con privilegios de administrador. Este realiza varias acciones:

• Crea exclusiones en Microsoft Defender
• Configura tareas programadas para persistencia
• Extrae y ejecuta archivos desde un ZIP malicioso descargado

El objetivo final es robar información y desplegar cargas adicionales, todo mientras evita la detección.

Los comentarios en ruso encontrados en el script sugieren que los operadores tienen dominio nativo del idioma ruso.

Capacidades multiplataforma

El análisis también reveló que el dominio usado en la campaña sirve como base de operaciones para el Atomic macOS Stealer (AMOS), lo que apunta a una estrategia multiplataforma dirigida tanto a usuarios de Windows como de macOS.

“Al aprovechar la estructura de commits de GitHub y Google Ads, los atacantes pueden imitar repositorios legítimos y redirigir a los usuarios a descargas maliciosas, eludiendo tanto la atención de las víctimas como las defensas tradicionales en los endpoints”, advirtió Arctic Wolf.

Amenazas relacionadas: evolución de la campaña ScreenConnect

El descubrimiento de GPUGate se da en paralelo con los hallazgos de Acronis, que documentó nuevas tácticas en una campaña de ScreenConnect comprometido. Activa desde marzo de 2025, esta operación distribuye malware como AsyncRAT, PureHVNC RAT y un troyano remoto basado en PowerShell a organizaciones en EE. UU. mediante ataques de ingeniería social.

Este RAT personalizado permite ejecutar programas, descargar archivos y mantener persistencia. Los atacantes ahora utilizan un instalador ClickOnce para ScreenConnect, que obtiene los componentes maliciosos en tiempo de ejecución, dificultando la detección mediante métodos estáticos tradicionales y complicando la defensa.

👉 Esta campaña demuestra la creciente sofisticación de los ataques de malvertising y la urgencia para que las organizaciones refuercen sus defensas frente a riesgos en la cadena de suministro, integraciones de terceros y nuevas técnicas de evasión.

Fuente: https://thehackernews.com/2025/09/gpugate-malware-uses-google-ads-and.html