GPUGate Malware: nieuwe aanvalsmethode gebruikt hardware voor ontsleuteling

Volgens een nieuwsbericht van Arctic Wolf Threat Research werd de aanvalsroute op 19 augustus 2025 ontdekt. De daders misbruikten de advertentiestructuur van Google en de opslag van GitHub om gebruikers naar een kwaadaardige download te lokken, die werd gehost op een vervalst domein. Door een specifieke link in de advertentie te verbergen, leek de download afkomstig van een officiële bron, waardoor de argwaan van gebruikers werd omzeild.

De malware, een opgeblazen Microsoft Software Installer (MSI) van 128 MB, is ontworpen om de meeste beveiligingssandboxes te omzeilen. Het unieke kenmerk van de aanval is de 'GPU-gated' ontsleutelingsroutine: een speciaal proces ontsleutelt de payload alleen op machines met een echte GPU. Hierdoor blijft de schadelijke code versleuteld in omgevingen voor beveiligingsanalyse die niet over deze hardware beschikken.

Gericht op de IT-sector

De onderzoekers van Arctic Wolf vermoeden dat de aanvallers zich richten op systemen met specifieke hardwareconfiguraties. Dit suggereert een focus op gebruikers die zich bezighouden met softwareontwikkeling, gaming of cryptocurrency-mining. De aanval heeft met name gebruikers in West-Europa binnen de IT-industrie als doelwit. Het vermoedelijke doel van de campagne is om toegang te krijgen tot organisaties voor kwaadaardige doeleinden zoals diefstal van inloggegevens, infostealing en de inzet van ransomware.

De daders, die blijk geven van een moedertaalvaardigheid in het Russisch door middel van commentaren in hun PowerShell-scripts, misleiden IT-medewerkers die vaak over hogere netwerkrechten beschikken.

Lees meer hier.