🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética sinalizaram uma operação em grande escala que se faz passar por projetos de código aberto e freeware para canalizar usuários desavisados por meio de um Sistema de Distribuição de Tráfego (TDS) e entregar famílias de malware como Remus Stealer, AnimateClipper e a estrutura SessionGate.
“Os sites são bem projetados e muitas vezes parecem portais de projetos legítimos, às vezes fazendo referência a recursos upstream reais”, disse Alexey Bukhteyev, pesquisador de segurança da Check Point, em um detalhamento da campanha. “O engano não está apenas no conteúdo da página, mas no que acontece quando um usuário interage”.
"Essas páginas carregam uma camada de teste JavaScript hospedada no CloudFront que converte um clique em um botão/link de 'download' em uma transferência para um Sistema de Distribuição de Tráfego (TDS). O TDS impõe restrições rigorosas: estado de primeira visita, confirmação de clique obrigatória, lógica anti-bot/anti-análise, filtragem de VPN/datacenter e limite de frequência."
Suspeita-se que a operação seja projetada para aquisição e monetização de tráfego, ao mesmo tempo que leva usuários selecionados à infraestrutura de entrega de malware. Alguns dos sites identificados imitam ferramentas confiáveis de engenharia reversa e segurança, como Ghidra, dnSpy e SpiderFoot.
As cadeias de ataques têm como alvo específico os usuários que procuram essas ferramentas em mecanismos de pesquisa como o Google, fazendo com que sites falsos apareçam no topo dos resultados da pesquisa. Uma iteração inicial da campanha foi documentada pela Fullstory em novembro de 2025. As evidências indicam que a atividade está em andamento desde setembro de 2025.
“Esses domínios estão focados em obter classificações favoráveis em mecanismos de busca, aproveitando o nome, a marca e a popularidade dos sites e projetos originais”, observou na época a empresa sediada em Atlanta. "Muitos sites estão nas primeiras classificações do Google para o termo de pesquisa relevante, muitas vezes eclipsando o site do projeto real. Isso torna sua visibilidade um trunfo e pode maximizar links e conteúdo."
Embora não tenha havido nenhuma indicação de que qualquer um destes domínios tenha sido utilizado para atividades maliciosas, a não ser para gerar conteúdo para direcionar tráfego e permitir que terceiros anunciem os seus próprios sites, as últimas descobertas da Check Point mostram que os scripts TDS foram incorporados pouco tempo depois, e a infraestrutura foi reaproveitada para distribuição de malware a partir de janeiro de 2026.
Clicar no botão “Download” inicia uma cadeia de redirecionamento de TDS que resulta na implantação de malware. Um dos aspectos mais marcantes é que passar o mouse sobre o botão revela a URL legítima de onde a ferramenta pode ser baixada, conferindo assim ao site uma aparência de legitimidade.
As cadeias de redirecionamento também são projetadas de forma que tentativas repetidas de acessá-las a partir do mesmo endereço IP resultem no download de software benigno, como o navegador Opera ou extensões de navegador desnecessárias. Algumas das cargas distribuídas por meio deste TDS estão listadas abaixo:
SessionGate, um carregador ofuscado e de vários estágios anteriormente desconhecido que é usado para fornecer aplicativos potencialmente indesejados (PUA), ao mesmo tempo que incorpora extensos mecanismos de anti-análise para eliminar sandboxes, girando para uma experiência de instalação benigna.
Remus Stealer, um novo ladrão de informações oferecido sob um modelo de malware como serviço (MaaS), pode roubar dados de mais de 20 navegadores, incluindo centenas de extensões e aplicativos de navegador, como carteiras de criptomoedas, ferramentas de autenticação de dois fatores e gerenciadores de senhas. Acredita-se que Remus seja uma variante do Lumma Stealer.
AnimateClipper, um clipper de criptomoeda que pode substituir endereços de carteira copiados para a área de transferência e sequestrar transações em mais de 20 ecossistemas blockchain. É entregue por meio de uma isca ClickFix.
Uma análise da telemetria do VirusTotal revelou aproximadamente 2.000 a 3.500 envios de amostras associadas à família SessionGate até o momento. A grande maioria das submissões teve origem na Turquia, Polónia, Brasil, Alemanha, França, Rússia e Reino Unido.
O objetivo final da sequência de infecção do SessionGate é descartar uma carga única por cliente e entregue somente após atravessar o caminho de redirecionamento de ponta a ponta. A cadeia de entrega de vários estágios, combinada com uma extensa lógica de validação e controle do lado TDS, foi projetada para resistir à análise e tornar a recuperação de carga útil uma tarefa desafiadora para os analistas.
A carga final da DLL é responsável pela comunicação com um servidor externo, recuperando uma configuração criptografada do servidor, extraindo o URL de download da configuração e baixando e executando silenciosamente o malware de próximo estágio por meio de “cmd.exe”.
“Os sites de entrada imitam portais legítimos de projetos de código aberto, preservam links reais do GitHub para passar por verificações visuais rápidas e, em seguida, usam a interceptação de cliques para encaminhar o primeiro clique de download para uma pilha TDS bloqueada”, disse Bukhteyev.
"Quanto mais plausível
“Os sites são bem projetados e muitas vezes parecem portais de projetos legítimos, às vezes fazendo referência a recursos upstream reais”, disse Alexey Bukhteyev, pesquisador de segurança da Check Point, em um detalhamento da campanha. “O engano não está apenas no conteúdo da página, mas no que acontece quando um usuário interage”.
"Essas páginas carregam uma camada de teste JavaScript hospedada no CloudFront que converte um clique em um botão/link de 'download' em uma transferência para um Sistema de Distribuição de Tráfego (TDS). O TDS impõe restrições rigorosas: estado de primeira visita, confirmação de clique obrigatória, lógica anti-bot/anti-análise, filtragem de VPN/datacenter e limite de frequência."
Suspeita-se que a operação seja projetada para aquisição e monetização de tráfego, ao mesmo tempo que leva usuários selecionados à infraestrutura de entrega de malware. Alguns dos sites identificados imitam ferramentas confiáveis de engenharia reversa e segurança, como Ghidra, dnSpy e SpiderFoot.
As cadeias de ataques têm como alvo específico os usuários que procuram essas ferramentas em mecanismos de pesquisa como o Google, fazendo com que sites falsos apareçam no topo dos resultados da pesquisa. Uma iteração inicial da campanha foi documentada pela Fullstory em novembro de 2025. As evidências indicam que a atividade está em andamento desde setembro de 2025.
“Esses domínios estão focados em obter classificações favoráveis em mecanismos de busca, aproveitando o nome, a marca e a popularidade dos sites e projetos originais”, observou na época a empresa sediada em Atlanta. "Muitos sites estão nas primeiras classificações do Google para o termo de pesquisa relevante, muitas vezes eclipsando o site do projeto real. Isso torna sua visibilidade um trunfo e pode maximizar links e conteúdo."
Embora não tenha havido nenhuma indicação de que qualquer um destes domínios tenha sido utilizado para atividades maliciosas, a não ser para gerar conteúdo para direcionar tráfego e permitir que terceiros anunciem os seus próprios sites, as últimas descobertas da Check Point mostram que os scripts TDS foram incorporados pouco tempo depois, e a infraestrutura foi reaproveitada para distribuição de malware a partir de janeiro de 2026.
Clicar no botão “Download” inicia uma cadeia de redirecionamento de TDS que resulta na implantação de malware. Um dos aspectos mais marcantes é que passar o mouse sobre o botão revela a URL legítima de onde a ferramenta pode ser baixada, conferindo assim ao site uma aparência de legitimidade.
As cadeias de redirecionamento também são projetadas de forma que tentativas repetidas de acessá-las a partir do mesmo endereço IP resultem no download de software benigno, como o navegador Opera ou extensões de navegador desnecessárias. Algumas das cargas distribuídas por meio deste TDS estão listadas abaixo:
SessionGate, um carregador ofuscado e de vários estágios anteriormente desconhecido que é usado para fornecer aplicativos potencialmente indesejados (PUA), ao mesmo tempo que incorpora extensos mecanismos de anti-análise para eliminar sandboxes, girando para uma experiência de instalação benigna.
Remus Stealer, um novo ladrão de informações oferecido sob um modelo de malware como serviço (MaaS), pode roubar dados de mais de 20 navegadores, incluindo centenas de extensões e aplicativos de navegador, como carteiras de criptomoedas, ferramentas de autenticação de dois fatores e gerenciadores de senhas. Acredita-se que Remus seja uma variante do Lumma Stealer.
AnimateClipper, um clipper de criptomoeda que pode substituir endereços de carteira copiados para a área de transferência e sequestrar transações em mais de 20 ecossistemas blockchain. É entregue por meio de uma isca ClickFix.
Uma análise da telemetria do VirusTotal revelou aproximadamente 2.000 a 3.500 envios de amostras associadas à família SessionGate até o momento. A grande maioria das submissões teve origem na Turquia, Polónia, Brasil, Alemanha, França, Rússia e Reino Unido.
O objetivo final da sequência de infecção do SessionGate é descartar uma carga única por cliente e entregue somente após atravessar o caminho de redirecionamento de ponta a ponta. A cadeia de entrega de vários estágios, combinada com uma extensa lógica de validação e controle do lado TDS, foi projetada para resistir à análise e tornar a recuperação de carga útil uma tarefa desafiadora para os analistas.
A carga final da DLL é responsável pela comunicação com um servidor externo, recuperando uma configuração criptografada do servidor, extraindo o URL de download da configuração e baixando e executando silenciosamente o malware de próximo estágio por meio de “cmd.exe”.
“Os sites de entrada imitam portais legítimos de projetos de código aberto, preservam links reais do GitHub para passar por verificações visuais rápidas e, em seguida, usam a interceptação de cliques para encaminhar o primeiro clique de download para uma pilha TDS bloqueada”, disse Bukhteyev.
"Quanto mais plausível
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #sites #falsos #que #imitam #ferramentas #de #código #aberto #têm #alta #classificação #no #google #para #fornecer #malware #via #tds
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário