Selon Arctic Wolf, des chercheurs ont mis au jour « GPUGate », une campagne sophistiquée visant des professionnels IT en Europe de l’Ouest via des publicités Google malveillantes menant à de faux installateurs GitHub Desktop. L’objectif apparent est l’accès initial pour le vol d’identifiants et une possible préparation au déploiement de ransomware, avec des indices pointant vers des acteurs russophones.
La charge utile (≈128 Mo) se distingue par une évasion basée sur GPU : un mécanisme de déchiffrement conditionnel (« GPU-gated ») n’exécute le code que sur des machines dotées d’un GPU réel dont le nom de périphérique dépasse 10 caractères, contournant efficacement VM et sandboxes. Le binaire embarque plus de 100 exécutables factices pour brouiller l’analyse.
Sur le plan technique, le malware met en œuvre une décryption en deux étapes avec OpenCL :
- Étape 1 : XOR avec la clé 0x5A.
- Étape 2 : AES-CBC avec des clés générées par le GPU via un kernel OpenCL. Le kernel vérifie la longueur du nom du GPU et produit soit une clé légitime (0x123456789ABCDEF01122334455667788) si le nom ≥ 10 caractères, soit une fausse clé (0xAAAAAAAAAAAAAAAAAAAAAAAAAAAAA) sinon.
La campagne assure la persistance via des tâches planifiées, ajoute des exclusions Windows Defender, et télécharge des charges additionnelles au moyen de scripts PowerShell. Elle déploie également AMOS Stealer sur les systèmes macOS.
IOCs et TTPs 🔎
- IOCs (techniques/artefacts connus dans le texte) :
- Clé XOR : 0x5A
- Clé AES-CBC (valide) : 0x123456789ABCDEF01122334455667788
- Clé AES-CBC (leurre) : 0xAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
- Condition de déclenchement : nom de périphérique GPU ≥ 10 caractères
- Taille binaire approximative : 128 Mo; >100 exécutables factices
- TTPs :
- Malvertising via Google Ads menant à faux installateurs GitHub Desktop
- Abus d’OpenCL pour décryptage dépendant du matériel et évasion de sandbox
- Persistance par tâches planifiées et exclusions Defender
- Téléchargement de charges via PowerShell
- Ciblage IT en Europe de l’Ouest; acteurs russophones
- AMOS Stealer sur macOS
Il s’agit d’une analyse de menace/threat intelligence visant à documenter une campagne de malware avec des mécanismes d’évasion matériels et ses vecteurs d’infection.
🧠 TTPs et IOCs détectés
TTPs
[‘Malvertising via Google Ads menant à faux installateurs GitHub Desktop’, ‘Abus d’OpenCL pour décryptage dépendant du matériel et évasion de sandbox’, ‘Persistance par tâches planifiées et exclusions Defender’, ‘Téléchargement de charges via PowerShell’, ‘Ciblage IT en Europe de l’Ouest; acteurs russophones’, ‘AMOS Stealer sur macOS’]
IOCs
[‘Clé XOR : 0x5A’, ‘Clé AES-CBC (valide) : 0x123456789ABCDEF01122334455667788’, ‘Clé AES-CBC (leurre) : 0xAAAAAAAAAAAAAAAAAAAAAAAAAAAAA’, ‘Condition de déclenchement : nom de périphérique GPU ≥ 10 caractères’, ‘Taille binaire approximative : 128 Mo; >100 exécutables factices’]
🔗 Source originale : https://arcticwolf.com/resources/blog/gpugate-malware-malicious-github-desktop-implants-use-hardware-specific-decryption-abuse-google-ads-target-western-europe/