Malware tarnt sich mit Google Ads und gefälschten GitHub-Commits : Neue Angriffsmethode zielt auf IT- und Softwareunternehmen in Westeuropa
Cyberkriminelle nutzen eine raffinierte Kombination aus manipulierten Google-Anzeigen und gefälschten GitHub-Commits, um Schadsoftware gezielt an IT- und Softwarefirmen in Westeuropa auszuliefern. Die Kampagne setzt auf GPU-basierte Tarntechniken, um Analysen zu erschweren und Sicherheitsmechanismen zu umgehen.
Seit mindestens Dezember 2024 schalten Angreifer bezahlte Anzeigen in Suchmaschinen wie Google, die auf vermeintlich legitime Software-Downloads verweisen. Besonders im Fokus stehen Entwicklerwerkzeuge wie GitHub Desktop. Hinter den Links verbirgt sich jedoch ein perfider Trick: GitHub-Commits werden so in die URL eingebettet, dass sie authentisch wirken, tatsächlich aber auf gefälschte Domains führen – etwa „gitpage[.]app“.
Cybersecurity-Spezialisten von Arctic Wolf entdeckten die Kampagne am 19. August 2025. Sie warnen, dass Nutzer sich von der vermeintlichen Seriosität einer GitHub-URL nicht täuschen lassen sollten: Der sichtbare Link kann manipuliert sein und im Hintergrund auf eine Angreifer-Infrastruktur zeigen.
GPUGate: GPU-gestützte Verschleierung
Die erste Stufe der Schadsoftware wird über manipulierte Suchergebnisse ausgeliefert und tarnt sich als aufgeblähte Microsoft-Installer-Datei mit 128 Megabyte Größe. Diese Datei ist so aufgeblasen, dass viele gängige Analyse-Sandboxen den Inhalt nicht korrekt untersuchen können. Zudem bleibt die eigentliche Schadsoftware verschlüsselt, solange kein funktionsfähiger Grafikprozessor vorhanden ist.
Diese Technik, als GPUGate bezeichnet, erkennt virtuelle Maschinen, ältere Testumgebungen oder Sicherheitssandboxen, die häufig keine echte GPU (Graphics Processing Unit) besitzen. Nur auf Systemen mit realer Grafikhardware wird ein Schlüssel generiert, um den Schadcode zu entschlüsseln. Fehlt eine GPU oder ist der Gerätename kürzer als zehn Zeichen, beendet sich das Programm selbst.
Vielstufiger Infektionsprozess
Nach dem Entpacken startet ein Visual-Basic-Skript, das wiederum ein PowerShell-Skript ausführt. Dieses läuft mit Administratorrechten und verändert die Sicherheitseinstellungen des Systems. Unter anderem werden Ausnahmen in Microsoft Defender hinzugefügt, geplante Aufgaben zur Persistenz eingerichtet und weitere Dateien aus einem heruntergeladenen Archiv ausgeführt.
Ziel der Angreifer ist es, sensible Informationen abzugreifen und zusätzliche Schadsoftware nachzuladen. Auffällig ist zudem, dass die PowerShell-Skripte russische Kommentare enthalten – ein Hinweis auf die Herkunft der Täter.
Cross-Plattform-Angriffe im Visier
Die analysierte Infrastruktur dient zugleich als Ausgangspunkt für die Verteilung des Atomic macOS Stealer (AMOS). Damit verfolgt die Gruppe offenbar eine plattformübergreifende Strategie, die sowohl Windows- als auch macOS-Systeme ins Visier nimmt.
Arctic Wolf betont: „Durch die Ausnutzung der Commit-Struktur von GitHub und die Manipulation von Google Ads können Angreifer glaubwürdig legitime Repositorien imitieren und Nutzer auf Schadcode umleiten – unbemerkt von vielen Abwehrmechanismen.“
Parallele Kampagnen mit Remote-Access-Trojanern
Die Enthüllungen erfolgen zeitgleich zu einer weiteren Angriffswelle, die Acronis analysiert hat. Dabei wird die Fernwartungssoftware ConnectWise ScreenConnect gezielt kompromittiert, um Schadsoftware wie AsyncRAT, PureHVNC RAT und einen speziellen PowerShell-basierten Trojaner einzuschleusen. Dieser maßgeschneiderte Schädling kann Programme ausführen, zusätzliche Dateien aus dem Internet nachladen und sich mit einfachen Methoden dauerhaft im System verankern.
Eine aktuelle Variante nutzt zudem einen ClickOnce Runner Installer, der seine Konfiguration erst zur Laufzeit nachlädt. Dadurch verlieren klassische statische Erkennungsverfahren an Wirkung, was die Verteidigung erheblich erschwert.
Neue Variante: Phantom Commit Injection
Am 8. September 2025 veröffentlichte GMO Cybersecurity by Ierae eine weitere Analyse, welche die Kampagne unter dem Namen Phantom Commit Injection beschreibt. Demnach richtet sich GPUGate inzwischen auch gegen Entwickler in Japan, was auf eine deutlich größere Reichweite der Angriffe hindeutet, als bislang angenommen.