Source: https://thehackernews.com/2025/09/gpugate-malware-uses-google-ads-and.html
🛡 概要
サイバーセキュリティ研究者たちは、Googleなどの検索エンジンの有料広告を利用して、GitHub Desktopなどの人気ツールを探している無防備なユーザーにマルウェアを配布する新たな洗練されたマルウェアキャンペーンについて詳述しました。最近のマルバタイジングキャンペーンは一般的になっていますが、最新の活動は独自のひねりを加えています。攻撃者が制御するインフラにポイントする変更されたリンクを含むページURLにGitHubのコミットを埋め込んでいます。
🔍 技術詳細
この攻撃は、少なくとも2024年12月から西ヨーロッパのITおよびソフトウェア開発企業を対象にしています。悪意のあるGitHubコミット内のリンクは、ユーザーを類似ドメインの「gitpage[.]app」にホストされた悪意のあるダウンロードへと誘導するように設計されています。最初のステージで配信されるマルウェアは、128 MBのMicrosoftソフトウェアインストーラー(MSI)であり、そのサイズのために既存のオンラインセキュリティサンドボックスを回避します。また、GPUを使用した暗号化ルーチンによって、実際のGPUがないシステムではペイロードが暗号化されたままになります。この手法はGPUGateと呼ばれています。実行ファイルは、GPU機能を使用して暗号化キーを生成し、デバイス名をチェックすることで、GPUドライバが適切にインストールされていないシステムを検出します。
⚠ 影響
このマルウェアは、情報の窃盗を促進し、二次ペイロードを配信することを目的としています。攻撃者は、PowerShellスクリプトを実行し、管理者権限での実行を行い、Microsoft Defenderの除外を追加し、持続性のためのスケジュールされたタスクを設定します。また、ダウンロードしたZIPアーカイブから抽出された実行可能ファイルを実行します。攻撃者はロシア語に堪能であることが示唆されており、PowerShellスクリプト内にはロシア語のコメントが存在します。この攻撃により、ユーザーは本物のソフトウェアリポジトリのように見える悪意のあるペイロードに誘導され、ユーザーの監視やエンドポイントの防御を回避します。
🛠 対策
この攻撃に対する対策には、ユーザー教育が重要です。信頼できるソースからのみソフトウェアをダウンロードするように促すことが必要です。また、セキュリティソフトウェアを最新の状態に保ち、疑わしいリンクをクリックしないように注意することが求められます。さらに、ネットワークトラフィックを監視し、不審な活動を早期に検出するためのシステムを導入することが推奨されます。特に、PowerShellスクリプトの実行を制限し、管理者権限なしでの実行を防ぐことで、攻撃の影響を軽減することができます。組織はセキュリティポリシーを見直し、従業員に対して定期的なトレーニングを実施することが重要です。
