Eine groß angelegte bösartige Operation gibt sich aktiv als legitime Open-Source- und Freeware-Projekte aus und täuscht Benutzer dazu, fortschrittliche Malware herunterzuladen. Das Vorgehen der Kampagne beinhaltet die Erstellung überzeugender gefälschter Portale, die beliebte Tools nachahmen, und die anschließende Verwendung eines **Traffic Distribution System (TDS)**, um verschiedene bösartige Payloads zu filtern und bereitzustellen. ### Der trügerische Köder gefälschter Portale Sicherheitsforscher von **Check Point** haben Licht auf dieses ausgeklügelte Schema geworfen. **Alexey Bukhteyev**, ein Sicherheitsforscher von **Check Point**, bemerkte: „Die Websites sind gut gestaltet und sehen auf den ersten Blick oft wie legitime Projektportale aus, manchmal mit Verweisen auf echte Upstream-Ressourcen.“ Dieses Detailniveau macht es für Benutzer schwierig, zwischen echten und betrügerischen Websites zu unterscheiden. Die Täuschung geht über die visuelle Attraktivität hinaus. Wenn ein Benutzer versucht, Software von diesen Websites herunterzuladen, fängt eine auf **CloudFront** gehostete JavaScript-Staging-Schicht den Klick ab. Diese Schicht übergibt dann die Anfrage an ein **TDS**, das strenge Gating-Logik anwendet, einschließlich Erstbesucherprüfungen, obligatorischer Klickbestätigungen, Anti-Bot/Anti-Analyse-Maßnahmen, VPN/Rechenzentrumsfilterung und Frequenzbegrenzung. Einige der identifizierten betrügerischen Websites ahmen bekannte Reverse-Engineering- und Sicherheitstools wie **Ghidra**, **dnSpy** und **SpiderFoot** nach. Diese Websites sind strategisch für Suchmaschinen wie **Google** optimiert, erscheinen oft an der Spitze der Suchergebnisse und überschatten die legitimen Projektseiten. ### Entwicklung einer Bedrohung Eine frühere Iteration dieser Kampagne wurde im November 2023 von **Fullstory** dokumentiert, mit Hinweisen auf Aktivitäten seit September 2023. Damals beobachtete das in Atlanta ansässige Unternehmen, dass sich die Domains auf die Erzielung günstiger Suchmaschinenrankings konzentrierten, um Traffic zu generieren und Werbung von Drittanbietern zu ermöglichen. Während anfangs keine direkte Malware-Verteilung erfolgte, deuten die neuesten Erkenntnisse von **Check Point** auf eine signifikante Eskalation hin. Ab Januar 2024 wurden die **TDS**-Skripte eingebettet und die Infrastruktur für die direkte Malware-Verteilung umfunktioniert.  Entscheidend ist, dass der „Download“-Button auf diesen gefälschten Websites so konstruiert ist, dass er beim Überfahren mit der Maus die legitime Download-URL anzeigt, was einen Anschein von Authentizität vermittelt. Ein Klick auf den Button initiiert jedoch die bösartige **TDS**-Umleitungs-Kette. Um die Analyse weiter zu umgehen, können wiederholte Download-Versuche von derselben IP-Adresse dazu führen, dass anstelle von Malware harmlose Software wie der **Opera**-Browser oder harmlose Browser-Erweiterungen bereitgestellt werden. ### Das Malware-Arsenal Das **TDS** ist darauf ausgelegt, eine Reihe von potenter Malware-Familien zu liefern: * **SessionGate**: Ein bisher unbekannter, mehrstufiger, verschleierter Loader. Er wird zur Bereitstellung potenziell unerwünschter Anwendungen (PUA) verwendet und enthält umfangreiche Anti-Analyse-Mechanismen, einschließlich der Umleitung zu einer harmlosen Installer-Erfahrung, wenn eine Sandbox erkannt wird. * **Remus Stealer**: Ein neuer Information Stealer, der unter einem Malware-as-a-Service (MaaS)-Modell betrieben wird. Er ist in der Lage, Daten von über 20 Browsern, Hunderten von Browser-Erweiterungen und Anwendungen zu exfiltrieren, darunter Kryptowährungs-Wallets, Zwei-Faktor-Authentifizierungs-Tools und Passwort-Manager. **Remus Stealer** wird als Variante des berüchtigten **Lumma Stealer** vermutet. * **AnimateClipper**: Ein Kryptowährungs-Clipper, der Wallet-Adressen, die in die Zwischenablage kopiert wurden, ersetzen und Transaktionen über mehr als 20 Blockchain-Ökosysteme hinweg kapern kann. Er wird oft über einen **ClickFix**-Köder geliefert.  ### Globale Reichweite und Umgehungstaktiken Telemetriedaten von **VirusTotal** zeigen etwa 2.000 bis 3.500 Einreichungen von Samples, die mit der **SessionGate**-Familie in Verbindung stehen. Die Mehrheit dieser Einreichungen stammt aus der Türkei, Polen, Brasilien, Deutschland, Frankreich, Russland und dem Vereinigten Königreich, was auf eine breite geografische Auswirkung hindeutet. Die Infektionssequenz von **SessionGate** ist besonders ausgeklügelt. Sie liefert eine eindeutige Payload pro Client, erst nach vollständiger Durchquerung des Umleitungspfades. Diese mehrstufige Lieferkette, gepaart mit umfangreicher Validierungslogik und **TDS**-seitigem Gating, ist darauf ausgelegt, die Analyse aktiv zu widerstehen und die Payload-Abfrage für Sicherheitsforscher außergewöhnlich schwierig zu gestalten. Die endgültige DLL-Payload kommuniziert mit einem externen Server, um eine verschlüsselte Konfiguration abzurufen, extrahiert eine Download-URL und führt die nächste Stufe der Malware stillschweigend über `cmd.exe` aus.  Bukhteyev betont, dass, obwohl das Hauptziel die Traffic-Akquisition und Monetarisierung sein mag, „durch die Einbettung einer gesteuerten **TDS**-Schicht und die Weiterleitung von Suchtraffic dorthin werden die Betreiber Teil einer Distributionskette, deren nachgelagerte Verbraucher Malware-Verteiler sein können. Dieselbe Traffic-Pipeline, die eine graue Monetarisierung antreibt, kann auch reale Benutzer selektiv zu bösartigen Payloads leiten.“ ### Ratschläge für Fachleute und Benutzer Angesichts der Komplexität dieser Kampagne sollten IT-Sicherheitsexperten die Benutzeraufklärung zur Überprüfung von Software-Download-Quellen verstärken. Navigieren Sie immer direkt zu offiziellen Projektwebsites oder vertrauenswürdigen Repositories, anstatt sich ausschließlich auf Suchmaschinenergebnisse zu verlassen. Implementieren Sie robuste Endpoint Detection and Response (EDR)-Lösungen und stellen Sie sicher, dass die Sicherheitssoftware auf dem neuesten Stand ist, um diese fortschrittlichen Malware-Bedrohungen zu erkennen und zu blockieren.