GPUGate: el malware que explota la reputación de Google y GitHub

Una sofisticada campaña de malware, bautizada como GPUGate, está utilizando anuncios en Google y la estructura de repositorios de GitHub para engañar a usuarios y distribuir software malicioso, aprovechando su reputación para reforzar su credibilidad.

Según el Arctic Wolf Cybersecurity Operations Center, el ataque se atribuye a un actor de amenazas de origen ruso y tiene como objetivo a profesionales de TI en Europa Occidental, un perfil de víctimas con acceso privilegiado a redes corporativas.

El vector inicial comienza con anuncios patrocinados en Google que aparecen al buscar herramientas como GitHub Desktop. Estos anuncios dirigen a páginas de commits en GitHub que parecen legítimas, conservando nombre y metadatos del repositorio, pero que incluyen enlaces manipulados hacia dominios controlados por los atacantes.

Lo que distingue a GPUGate es su método de evasión. El instalador inicial es un archivo de 128 MB diseñado para eludir sandboxes de seguridad que suelen aplicar límites de tamaño. A ello se suma un mecanismo de descifrado que solo se activa si detecta una GPU física real con un nombre de dispositivo superior a diez caracteres. En entornos virtuales o máquinas de análisis, la carga maliciosa permanece cifrada e inactiva, reduciendo las posibilidades de detección en pruebas de seguridad.

El objetivo final de la campaña es obtener acceso inicial a redes corporativas para actividades como robo de credenciales, exfiltración de datos o despliegue de ransomware. Una vez ejecutado, el malware utiliza un script de PowerShell para adquirir privilegios de administrador, establecer persistencia y evadir Windows Defender.

Los analistas advierten que la campaña está activa desde al menos diciembre de 2024 y representa una amenaza en constante evolución.

Más información:

• https://cybersecuritynews.com/gpugate-abuses-google-ads/

Acerca de Germán Centeno

Germán Centeno Ha escrito 17 publicaciones.

• View all posts by Germán Centeno →
• Blog