Arctic Wolf deckt GPU-basierte Malware-Kampagne auf
Arctic Wolf hat eine neue Angriffstaktik identifiziert, die Github-Repository-Strukturen und Google Ads für die Verbreitung von Malware missbraucht. Die als "GPUGate" bezeichnete Kampagne zielt besonders auf IT-Fachkräfte in Westeuropa ab.
Arctic Wolf warnt vor einer neuen Malware mit einer "ausgeklügelten Angriffskette", wie das Unternehmen schreibt. Die vom Unternehmen als "GPUGate" bezeichnete Taktik nutzt die Repository-Struktur von Github und Google Ads, um ihre Opfer zu täuschen und sie auf einen schädlichen Download umzuleiten.
Die Angreifer nutzen dabei commit-spezifische Links - permanente URLs, die auf eine bestimmte Version einer Datei innerhalb eines spezifischen Git-Commits verweisen. Diese betten die Cyberkriminellen in Werbeanzeigen ein. Dabei lassen sie den Download so erscheinen, als stammte er von einer offiziellen Quelle.
Die "raffinierte Malware", wie Artic Wolf schreibt, weist ein paar einzigartige Eigenschaften auf. Der initiale Installer ist eine 128 Megabyte grosse MSI-Datei, die den legitimen Github-Desktop-Installer nachahmt. Um die Dateigrösse künstlich aufzublähen, enthält sie über 100 Dummy-Executables ohne echte Funktion. Auf diese Weise soll der Schädling Sandbox-Grenzen umgehen können.
Malware umgeht Analysen
Ein zentrales Element der Schadsoftware ist ihre GPU-gesteuerte Entschlüsselungsroutine. Arctic Wolf zufolge nutzt die Malware einen OpenCL-Kernel, der den AES-Schlüssel ausschliesslich auf Systemen mit echter GPU ableitet, deren Gerätename mindestens zehn Zeichen umfasst. So bleibe die Payload in Headless-Analyseumgebungen verschlüsselt. Gemeint sind Umgebungen, in denen die Benutzeroberfläche einer Anwendung vom Backend entkoppelt ist, sodass beide separat entwickelt und betrieben werden können.
Der GPU-basierte Entschlüsselungsmechanismus deute darauf hin, dass die Cyberkriminellen Systeme mit spezifischen Hardwarekonfigurationen ins Visier nehmen. In der Mitteilung mutmasst Arctic Wolf, dass die Angreifer wohl User in den Bereichen Entwicklung, Gaming oder Krypto-Mining anvisieren - insbesondere in Westeuropa. Das Hauptziel der Angreifer besteht darin, einen ersten Zugang zu Organisationen zu erlangen. In einem zweiten Schritt geht es dann darum, Anmeldedaten oder andere Informationen zu stehlen und Ransomware-Attacken zu starten.
Powershell-Skriptkommentare in russischer Sprache deuten laut Arctic Wolf darauf hin, dass die Entwickler dieses Schädlings über muttersprachliche Russischkenntnisse verfügen. In seinem Blog beschreibt Arctic Wolf "GPUGate" in mehr Detail.
Das könnte Sie ebenfalls interessieren: Selbst bauen oder als Service beziehen? Wie Unternehmen teure Fehler beim Security Operations Center (SOC) vermeiden, was beim Aufbau eines SOC oft untergeht und wer dies besser als Service beziehen sollte, erklärten SwissCybersecurity.net und Arctic Wolf in einem gemeinsamen Webinar. Die Berichterstattung dazu und die Videoaufzeichnung des Webinars finden Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Diese Kampagnen gewinnen die Swiss Out of Home Awards 2025
Update: Helsana bestimmt neue Verwaltungsräte für Adcubum
Voldemorts triumphales Lachen – international
Was vom Apple-Event am 9. September zu erwarten ist
Arctic Wolf deckt GPU-basierte Malware-Kampagne auf
Update: Behörden bremsen Lieferroboter von Post und Just Eat
Check-Point-Browser bringt Zero Trust auf nicht verwaltete Geräte
Update: Richter legt Anthropic-Deal auf Eis
Mistral AI sichert sich 1,7 Milliarden Euro
