Negli ultimi mesi è stata osservata una sofisticata campagna di malware, denominata GPUGate, che colpisce principalmente aziende IT e di sviluppo software in Europa occidentale. Questa minaccia si distingue per l’uso di Google Ads e commit GitHub falsificati che reindirizzano gli utenti verso siti malevoli, camuffati da pagine legittime. Gli utenti che cercano strumenti popolari come GitHub Desktop possono così essere facilmente tratti in inganno e scaricare file dannosi senza rendersene conto.

La tecnica alla base di GPUGate

Gli attaccanti manipolano gli URL dei commit di GitHub per inserire collegamenti alterati che, pur apparendo autentici, portano a domini controllati dai criminali informatici, come gitpage.app. Questi domini ospitano file MSI di grandi dimensioni, circa 128 MB, che vengono scaricati dalle vittime grazie al posizionamento privilegiato ottenuto tramite campagne pubblicitarie su Google.

Il file MSI iniziale è concepito per eludere i sandbox di sicurezza, dato il suo peso e la presenza di numerosi file spazzatura che ne complicano ulteriormente l’analisi. Il vero elemento distintivo della campagna GPUGate è una routine di decifratura che sfrutta la scheda grafica (GPU). Solo sui sistemi dotati di una GPU reale viene generata la chiave di cifratura necessaria a sbloccare il payload dannoso; se la macchina non dispone di una GPU reale, il malware rimane cifrato e inattivo. Questo stratagemma permette di evitare l’analisi in ambienti virtuali o sandbox, spesso utilizzati dai ricercatori di sicurezza.

Fasi successive all’infezione

Dopo l’installazione, il malware esegue uno script Visual Basic che avvia a sua volta uno script PowerShell con privilegi amministrativi. Questo script modifica le esclusioni di Microsoft Defender, crea task pianificati per garantire la persistenza e infine esegue ulteriori file malevoli prelevati da un archivio ZIP. L’obiettivo finale è il furto di informazioni e l’installazione di payload secondari, tutto cercando di sfuggire ai sistemi di rilevazione. L’analisi dei dettagli del codice rivela tracce linguistiche riconducibili a parlanti nativi russi.

GPUGate dimostra come gli attori delle minacce siano in grado di sfruttare strumenti e piattaforme considerate affidabili, come Google Ads e GitHub, per attacchi mirati sempre più sofisticati e difficili da intercettare. La presenza di riferimenti a tool come Atomic macOS Stealer indica inoltre una strategia cross-platform. È fondamentale che le aziende IT e gli utenti restino vigili e adottino strategie di difesa aggiornate contro queste nuove forme di malvertising.