報導摘要

網路安全研究人員詳細介紹了一項新的複雜惡意軟體活動，該活動利用 Google 等搜尋引擎上的付費廣告，向尋找 GitHub Desktop(註) 等流行工具的毫無戒心的用戶投放惡意軟體。Arctic Wolf在上週發布的一份報告中表示： “即使連結似乎指向 GitHub 等信譽良好的平台，底層 URL 也可能被操縱以解析為假冒網站。” 透過利用 GitHub 的提交結構和 Google Ads，威脅行為者可以令人信服地模仿合法軟體儲存庫並將用戶重定向到惡意負載 - 繞過用戶審查和端點防禦。這場惡意軟體活動名為GPUGate，主要針對西歐的IT專業人員，其最終目標是竊取憑證、敏感資料，並為後續的勒索軟體攻擊鋪路。

註：GitHub Desktop是一個免費的開源應用程式，由GitHub官方開發，用於簡化與GitHub儲存庫（repository）的互動。它為開發者提供了一個圖形化使用者介面（GUI），讓使用者無須透過命令列（Command Line）就能輕鬆執行Git版本控制的常見操作。

惡意廣告與散布途徑

GPUGate活動的核心是「惡意廣告」（Malvertising）。駭客在Google搜尋引擎上購買廣告版位，當使用者搜尋如「GitHub Desktop」等熱門開發工具時，這些惡意廣告便會出現在正常搜尋結果上方，誘使使用者點擊。這些廣告頁面會將使用者導向一個看似官方的GitHub儲存庫，但實際上是駭客精心創建的。這種手法利用了正規服務的公信力，降低了受害者的警覺心。

攻擊手法分析

GPUGate的攻擊手法極為複雜。受害者下載的是一個偽裝成無害的MSI安裝程式。為了躲避安全沙箱的偵測，它包含了超過100個無用的「傀儡」可執行檔。當安全分析工具在沙箱中運行時，會因大量的虛假程式而難以識別出真正的惡意元件。

GPUGate最獨特的技術是「GPU門控解密」（GPU-gated decryption）。惡意程式在執行後，會檢查系統是否配備獨立顯示卡。如果系統沒有GPU，惡意酬載將不會解密，保持加密狀態。這項機制有效阻礙了研究人員在通常沒有GPU的虛擬機器或沙箱環境中對其進行分析。只有在具備GPU的真實目標系統上，惡意程式才會解密並啟動其主要功能。

目標與危害

GPUGate主要針對IT專業人士，因他們經常需要下載各種開發工具，且其工作環境通常有更高的系統權限與存取敏感資料的機會。一旦攻擊成功，駭客便能竊取憑證、重要業務檔案與程式碼，甚至部署勒索軟體，對整個組織造成癱瘓性打擊。

防禦與建議

為了有效防範類似GPUGate的攻擊，企業與個人應採取多重防護措施：

1. 提高警覺性：即使是來自Google或GitHub等可信來源，也應對下載連結保持警惕。在點擊前，應仔細檢查網址，確認其為官方網域。

2. 使用廣告攔截工具：安裝可靠的瀏覽器擴充功能，以阻擋惡意廣告的顯示。

3. 啟用多重身份驗證（MFA）：對所有重要線上服務啟用MFA。

4. 使用端點安全軟體：部署具備進階行為分析與沙箱模擬功能的端點安全解決方案，以偵測並阻擋惡意程式。

5. 定期備份：重要資料應定期備份至離線儲存裝置，以應對勒索軟體攻擊。

6. 員工資安教育：定期對員工進行資安培訓，教授如何識別釣魚郵件、惡意廣告與可疑的下載連結。

總結來說，GPUGate活動提醒我們，網路威脅正變得越來越複雜且難以偵測。單純依賴傳統的防毒軟體已不足以應對，全面的防護策略與資安意識的提升，才是保護數位資產的關鍵。