Pesquisadores de cibersegurança identificaram uma operação em larga escala que se passa por projetos de código aberto e freeware para encaminhar usuários desavisados por meio de um Sistema de Distribuição de Tráfego, ou TDS, e entregar famílias de malware como Remus Stealer, AnimateClipper e o framework SessionGate.
“Os sites são bem construídos e, à primeira vista, muitas vezes parecem portais legítimos de projetos, às vezes com referência a recursos reais do projeto original”, afirmou o pesquisador de segurança da Check Point, Alexey Bukhteyev, em uma análise da campanha.
“O engano não está apenas no conteúdo da página, mas no que acontece quando o usuário interage.”
“Essas páginas carregam uma camada intermediária de JavaScript hospedada no CloudFront que transforma um clique em um botão ou link de ‘download’ em um redirecionamento para um Sistema de Distribuição de Tráfego.
O TDS impõe controles rígidos: estado de primeira visita, confirmação obrigatória do clique, lógica anti-bot e anti-análise, filtragem de VPN e datacenter e limitação de frequência.”
A suspeita é de que a operação tenha como objetivo a aquisição e a monetização de tráfego, ao mesmo tempo em que conduz alguns usuários selecionados para uma infraestrutura de entrega de malware.
Entre os sites identificados, alguns imitam ferramentas confiáveis de engenharia reversa e segurança, como Ghidra, dnSpy e SpiderFoot.
As cadeias de ataque miram especificamente pessoas que buscam essas ferramentas em mecanismos de busca, como o Google, fazendo com que os sites falsos apareçam entre os primeiros resultados.
Uma versão inicial da campanha foi documentada pela Fullstory em novembro de 2025.
As evidências indicam que a atividade ocorre desde setembro de 2025.
“Esses domínios estão focados em conquistar boas posições nos mecanismos de busca ao explorar o nome, a marca e a popularidade dos sites e projetos originais”, observou a empresa de Atlanta na época.
“Muitos sites aparecem entre os primeiros resultados no Google para o termo pesquisado, muitas vezes superando o site real do projeto.
Isso torna sua visibilidade um ativo e pode maximizar links e conteúdo.”
Embora não houvesse indício de que esses domínios tivessem sido usados para atividade maliciosa, além de gerar conteúdo para atrair tráfego e permitir que terceiros anunciassem seus próprios sites, as descobertas mais recentes da Check Point mostram que os scripts do TDS foram incorporados pouco depois e que a infraestrutura foi reaproveitada para distribuição de malware a partir de janeiro de 2026.
Ao clicar no botão “Download”, inicia-se uma cadeia de redirecionamentos do TDS que resulta na implantação de malware.
Um dos aspectos mais chamativos é que, ao passar o mouse sobre o botão, é exibida a URL legítima de onde a ferramenta poderia ser baixada, o que dá ao site uma aparência de credibilidade.
As cadeias de redirecionamento também são projetadas para que tentativas repetidas de acesso a partir do mesmo endereço IP resultem no download de software benigno, como o navegador Opera ou extensões de navegador desnecessárias.
Entre os payloads distribuídos por esse TDS estão os seguintes:
SessionGate, um loader ofuscado e multietapa até então desconhecido, usado para entregar aplicativos potencialmente indesejados, ou PUA, enquanto incorpora mecanismos extensos de anti-análise para enganar sandboxes e desviar para uma experiência de instalação inofensiva.
Remus Stealer, um novo infostealer oferecido no modelo malware-as-a-service, ou MaaS, capaz de roubar dados de mais de 20 navegadores, incluindo centenas de extensões e aplicações de navegador, como carteiras de criptomoedas, ferramentas de autenticação em 2FA e gerenciadores de senhas.
Acredita-se que o Remus seja uma variante do Lumma Stealer.
AnimateClipper, um clipper de criptomoedas que pode substituir endereços de carteira copiados para a área de transferência e sequestrar transações em mais de 20 ecossistemas de blockchain.
Ele é distribuído por meio de uma isca ClickFix.
Uma análise de telemetria do VirusTotal revelou cerca de 2.000 a 3.500 envios de amostras associadas à família SessionGate até o momento.
A grande maioria das submissões veio da Turquia, Polônia, Brasil, Alemanha, França, Rússia e Reino Unido.
O objetivo final da sequência de infecção do SessionGate é soltar um payload único para cada cliente, entregue somente depois que toda a cadeia de redirecionamento é percorrida do início ao fim.
A combinação de entrega em várias etapas, lógica extensa de validação e controles do lado do TDS foi criada para resistir à análise e tornar a obtenção do payload uma tarefa difícil para analistas.
A DLL final é responsável por se comunicar com um servidor externo, recuperar uma configuração criptografada desse servidor, extrair a URL de download a partir da configuração e baixar, além de executar silenciosamente o malware da próxima etapa por meio do “cmd.exe”.
“Os sites de entrada imitam portais legítimos de projetos de código aberto, preservam links reais do GitHub para passar por verificações visuais rápidas e depois usam interceptação de clique para encaminhar o primeiro clique de download para uma pilha de TDS com controles rígidos”, disse Bukhteyev.
“O objetivo principal mais plausível é a aquisição e a monetização de tráfego.
No entanto, ao incorporar uma camada de TDS com controle de acesso e direcionar tráfego de busca para ela, os operadores passam a fazer parte de uma cadeia de distribuição cujos consumidores em etapas posteriores podem incluir distribuidores de malware.
O mesmo fluxo de tráfego que impulsiona a monetização cinzenta também pode redirecionar seletivamente usuários reais para payloads maliciosos.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...