Ny malvertising kampanje fører til falsk DockerDesktop.exe «GPUGate» dropper.
Ny malvertising kampanje fører til falsk DockerDesktop.exe «GPUGate» dropper
En ny skadevare kampanje drevet av malvertising har blitt identifisert der angripere bruker Google Ads for å lokke ofre til angivelige nedlastningssider som later som de distribuerer legitim programvare, inkludert Docker Desktop. I stedet blir ofrene dirigert til ondsinnede nedlastinger hvor en trojanisert og kode-signert DockerDesktop.exe leveres. Skadevarekjeden ligner tidligere rapporterte GPUGate kampanjer med en hardware avhengig “GPUgate” som benytter OpenCL GPU enumering som betingelse for å dekryptere og kjøre et annet steg i infeksjonen. Når kjørbar fil er aktivert, dekrypterer den ressurser med en GPU-basert "ChaCha stream cipher" som deretter fungerer som en .NET dropper for vedvarende tilstedeværelse og henter ytterligere payload via PowerShell. Kampanjen kombinerer imitasjon av forsyningskjede med sofistikerte evasive teknikker som gjør analyse og oppdagelse vanskeligere.
Søk alltid etter og last ned programvare direkte fra leverandørs ofisielle websider fremfor via annonser eller tredjeparts nedlastingslenker. Implementer blokkering av annonser og filtrering for å redusere sjansen for å bli eksponert for malvertising. Overvåk GPU-aktive installasjoner og inkonsistente signaturer/kode signeringer som kan indikere trojanisering.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.