CyberThao
Writer
Một chiến dịch phần mềm độc hại tinh vi vừa được phát hiện, lợi dụng quảng cáo Google và cam kết GitHub giả mạo để phát tán mã độc, nhắm trực tiếp vào các công ty phát triển phần mềm và CNTT tại Tây Âu.
Theo Arctic Wolf, kẻ tấn công mua quảng cáo trên công cụ tìm kiếm để dẫn người dùng đến các trang giả mạo trông giống GitHub, nhưng thực chất trỏ về tên miền do chúng kiểm soát như “gitpage[.]app”. Những liên kết này xuất hiện từ tháng 12/2024, đặc biệt nhắm vào giới lập trình và doanh nghiệp CNTT.
Mã độc giai đoạn đầu là một tệp Microsoft Software Installer (MSI) dung lượng 128 MB – đủ lớn để vượt qua nhiều hộp cát bảo mật. Tải trọng được mã hóa chỉ giải mã khi có GPU thực sự, thông qua kỹ thuật mới mang tên GPUGate. Nếu hệ thống không có GPU phù hợp, chẳng hạn máy ảo hay môi trường phân tích, phần mềm độc hại sẽ không kích hoạt.
Quy trình tấn công tiếp tục bằng cách thực thi script Visual Basic, rồi PowerShell với quyền quản trị viên. Từ đó, nó thiết lập loại trừ trong Microsoft Defender, tạo tác vụ theo lịch trình để duy trì và chạy các file thực thi từ một tệp ZIP tải xuống. Mục tiêu cuối cùng là đánh cắp thông tin, triển khai thêm payload thứ cấp và tránh bị phát hiện. Một số đoạn mã PowerShell chứa bình luận tiếng Nga, cho thấy khả năng cao nhóm tấn công là người bản ngữ Nga.
Điều tra tên miền còn hé lộ dấu vết liên quan đến Atomic macOS Stealer (AMOS) – chứng tỏ GPUGate không chỉ dừng ở Windows mà còn hướng tới đa nền tảng.
Song song, Acronis cũng báo cáo sự tiến hóa của chiến dịch ConnectWise ScreenConnect bị trojan hóa, được sử dụng để thả AsyncRAT, PureHVNC RAT và một biến thể RAT PowerShell tùy chỉnh vào hệ thống doanh nghiệp Mỹ từ tháng 3/2025. RAT này có khả năng chạy chương trình, tải và thực thi file, đồng thời duy trì trên hệ thống với cơ chế đơn giản.
Điểm đáng lo ngại là kẻ tấn công nay lợi dụng trình cài đặt ClickOnce cho ScreenConnect, vốn không nhúng sẵn cấu hình mà tải về thành phần khi chạy. Điều này khiến các biện pháp phát hiện tĩnh kém hiệu quả hơn, tăng độ khó trong phòng thủ và ngăn chặn.
Đọc chi tiết tại đây: https://thehackernews.com/2025/09/gpugate-malware-uses-google-ads-and.html
Cách GPUGate đánh lừa người dùng và vượt qua phân tích bảo mật
Theo Arctic Wolf, kẻ tấn công mua quảng cáo trên công cụ tìm kiếm để dẫn người dùng đến các trang giả mạo trông giống GitHub, nhưng thực chất trỏ về tên miền do chúng kiểm soát như “gitpage[.]app”. Những liên kết này xuất hiện từ tháng 12/2024, đặc biệt nhắm vào giới lập trình và doanh nghiệp CNTT.
Mã độc giai đoạn đầu là một tệp Microsoft Software Installer (MSI) dung lượng 128 MB – đủ lớn để vượt qua nhiều hộp cát bảo mật. Tải trọng được mã hóa chỉ giải mã khi có GPU thực sự, thông qua kỹ thuật mới mang tên GPUGate. Nếu hệ thống không có GPU phù hợp, chẳng hạn máy ảo hay môi trường phân tích, phần mềm độc hại sẽ không kích hoạt.
Quy trình tấn công tiếp tục bằng cách thực thi script Visual Basic, rồi PowerShell với quyền quản trị viên. Từ đó, nó thiết lập loại trừ trong Microsoft Defender, tạo tác vụ theo lịch trình để duy trì và chạy các file thực thi từ một tệp ZIP tải xuống. Mục tiêu cuối cùng là đánh cắp thông tin, triển khai thêm payload thứ cấp và tránh bị phát hiện. Một số đoạn mã PowerShell chứa bình luận tiếng Nga, cho thấy khả năng cao nhóm tấn công là người bản ngữ Nga.
Điều tra tên miền còn hé lộ dấu vết liên quan đến Atomic macOS Stealer (AMOS) – chứng tỏ GPUGate không chỉ dừng ở Windows mà còn hướng tới đa nền tảng.
Liên hệ với các chiến dịch RAT và xu hướng tấn công mới
Song song, Acronis cũng báo cáo sự tiến hóa của chiến dịch ConnectWise ScreenConnect bị trojan hóa, được sử dụng để thả AsyncRAT, PureHVNC RAT và một biến thể RAT PowerShell tùy chỉnh vào hệ thống doanh nghiệp Mỹ từ tháng 3/2025. RAT này có khả năng chạy chương trình, tải và thực thi file, đồng thời duy trì trên hệ thống với cơ chế đơn giản.
Điểm đáng lo ngại là kẻ tấn công nay lợi dụng trình cài đặt ClickOnce cho ScreenConnect, vốn không nhúng sẵn cấu hình mà tải về thành phần khi chạy. Điều này khiến các biện pháp phát hiện tĩnh kém hiệu quả hơn, tăng độ khó trong phòng thủ và ngăn chặn.
Đọc chi tiết tại đây: https://thehackernews.com/2025/09/gpugate-malware-uses-google-ads-and.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview