网络安全研究人员详细披露了一场新型复杂恶意软件攻击活动：攻击者利用谷歌等搜索引擎上的付费广告，向那些搜索 “GitHub Desktop” 等热门工具的无防备用户分发恶意软件。 近年来，恶意广告攻击活动已十分常见，但此次攻击有其独特手段 —— 将 GitHub 提交记录嵌入网页 URL，而该 URL 中包含被篡改的链接，这些链接最终指向攻击者控制的基础设施。 “即便某个链接看似指向 GitHub 这类知名平台，其底层 URL 也可能被篡改，最终跳转到伪造网站。” 北极狼（Arctic Wolf）网络安全公司在上周发布的报告中表示。 至少从 2024 年 12 月起，该攻击活动就专门针对西欧地区的 IT 及软件开发企业。伪造 GitHub 提交记录中的链接经过特殊设计，会将用户诱导至一个仿冒域名（如 “gitpage [.] app”）上托管的恶意下载资源。

深入分析与后续影响

通过被 “投毒” 的搜索结果分发的第一阶段恶意软件，是一个体积达 128MB 的微软安装程序（MSI 文件）。凭借庞大的体积，该程序可避开多数现有在线安全沙箱的检测；同时，其内置的 “显卡（GPU）门控解密” 程序会让载荷在没有真实 GPU 的系统上保持加密状态 —— 这一技术被命名为 “GPUGate”。

“没有正确安装显卡驱动的系统，很可能是安全研究人员常用的虚拟机（VM）、沙箱或较旧的分析环境，” 该网络安全公司指出，“这款可执行文件会利用显卡功能生成加密密钥，用于解密攻击载荷，且在这一过程中会检查显卡设备名称。”

除了植入大量无用文件（垃圾文件）以干扰分析外，若检测到设备名称长度不足 10 个字符，或系统无显卡功能可用，该恶意软件会立即终止执行。

后续攻击流程如下：首先执行一个 Visual Basic 脚本，该脚本会启动 PowerShell 脚本；随后 PowerShell 脚本将以管理员权限运行，添加微软 Defender 的排除项，创建计划任务以实现持久化，最终运行从下载的 ZIP 压缩包中提取的可执行文件。

攻击者的最终目的是窃取信息并分发二级攻击载荷，同时躲避检测。从 PowerShell 脚本中存在俄语注释可判断，发起此次攻击活动的威胁行为者母语很可能是俄语。

对威胁行为者所使用域名的进一步分析显示，该域名还被用作 “macOS 原子窃取器”（Atomic macOS Stealer，简称 AMOS）的暂存服务器，这表明攻击者采用了跨平台攻击策略。

“攻击者利用 GitHub 的提交记录结构，并借助谷歌广告，能逼真地模仿合法软件仓库，将用户重定向至恶意载荷 —— 这种方式既能避开用户的审查，又能绕过终端防御。” 北极狼公司表示。

相关安全动态

与此同时，安克诺斯（Acronis）公司也披露了一场持续升级的 “植入恶意代码的 ConnectWise ScreenConnect” 攻击活动：自 2025 年 3 月起，攻击者通过社会工程学手段针对美国企业发起攻击，利用这款远程访问软件在受感染主机上植入 AsyncRAT（异步远程访问木马）、PureHVNC RAT（远程控制木马）以及一款定制化的基于 PowerShell 的远程访问木马（RAT）。

这款定制化 PowerShell RAT 由从被篡改的 ScreenConnect 服务器下载的 JavaScript 文件执行，具备一些基础功能，如运行程序、下载并执行文件，以及一种简单的持久化机制。

“攻击者现在使用 ScreenConnect 的 ClickOnce 运行器安装程序，这类安装程序没有嵌入式配置，而是在运行时获取组件，” 该安全厂商表示，“这种技术升级导致传统静态检测方法效果大打折扣，也让防御难度增加，使得防御方几乎没有可靠的应对方案。”