Arctic Wolf deckt GPU-basierte Malware-Kampagne auf
Arctic Wolf hat eine neue Angriffstaktik identifiziert, die Github-Repository-Strukturen und Google Ads für die Verbreitung von Malware missbraucht. Die als "GPUGate" bezeichnete Kampagne zielt besonders auf IT-Fachkräfte in Westeuropa ab.
Arctic Wolf warnt vor einer neuen Malware mit einer "ausgeklügelten Angriffskette", wie das Unternehmen schreibt. Die vom Unternehmen als "GPUGate" bezeichnete Taktik nutzt die Repository-Struktur von Github und Google Ads, um ihre Opfer zu täuschen und sie auf einen schädlichen Download umzuleiten.
Die Angreifer nutzen dabei commit-spezifische Links - permanente URLs, die auf eine bestimmte Version einer Datei innerhalb eines spezifischen Git-Commits verweisen. Diese betten die Cyberkriminellen in Werbeanzeigen ein. Dabei lassen sie den Download so erscheinen, als stammte er von einer offiziellen Quelle.
Die "raffinierte Malware", wie Artic Wolf schreibt, weist ein paar einzigartige Eigenschaften auf. Der initiale Installer ist eine 128 Megabyte grosse MSI-Datei, die den legitimen Github-Desktop-Installer nachahmt. Um die Dateigrösse künstlich aufzublähen, enthält sie über 100 Dummy-Executables ohne echte Funktion. Auf diese Weise soll der Schädling Sandbox-Grenzen umgehen können.
Malware umgeht Analysen
Ein zentrales Element der Schadsoftware ist ihre GPU-gesteuerte Entschlüsselungsroutine. Arctic Wolf zufolge nutzt die Malware einen OpenCL-Kernel, der den AES-Schlüssel ausschliesslich auf Systemen mit echter GPU ableitet, deren Gerätename mindestens zehn Zeichen umfasst. So bleibe die Payload in Headless-Analyseumgebungen verschlüsselt. Gemeint sind Umgebungen, in denen die Benutzeroberfläche einer Anwendung vom Backend entkoppelt ist, sodass beide separat entwickelt und betrieben werden können.
Der GPU-basierte Entschlüsselungsmechanismus deute darauf hin, dass die Cyberkriminellen Systeme mit spezifischen Hardwarekonfigurationen ins Visier nehmen. In der Mitteilung mutmasst Arctic Wolf, dass die Angreifer wohl User in den Bereichen Entwicklung, Gaming oder Krypto-Mining anvisieren - insbesondere in Westeuropa. Das Hauptziel der Angreifer besteht darin, einen ersten Zugang zu Organisationen zu erlangen. In einem zweiten Schritt geht es dann darum, Anmeldedaten oder andere Informationen zu stehlen und Ransomware-Attacken zu starten.
Powershell-Skriptkommentare in russischer Sprache deuten laut Arctic Wolf darauf hin, dass die Entwickler dieses Schädlings über muttersprachliche Russischkenntnisse verfügen. In seinem Blog beschreibt Arctic Wolf "GPUGate" in mehr Detail.
Das könnte Sie ebenfalls interessieren: Selbst bauen oder als Service beziehen? Wie Unternehmen teure Fehler beim Security Operations Center (SOC) vermeiden, was beim Aufbau eines SOC oft untergeht und wer dies besser als Service beziehen sollte, erklärten SwissCybersecurity.net und Arctic Wolf in einem gemeinsamen Webinar. Die Berichterstattung dazu und die Videoaufzeichnung des Webinars finden Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Voldemorts triumphales Lachen – international
KI-Power an der Limmat: Ideenlabor Zürich
Kontrollverlust durch KI ist kein Risiko mehr, sondern Realität
Künstliche Intelligenz als nächste Verteidigungslinie gegen digitale Bedrohungen
Samsung 9100 Pro SSD – maximale Power für anspruchsvolle User
Arctic Wolf deckt GPU-basierte Malware-Kampagne auf
Update: Helsana bestimmt neue Verwaltungsräte für Adcubum
Fragmentierte Prozesslandschaften und Tool-Wildwuchs
Agentic AI transformiert die Unternehmens-IT
