Una operación maliciosa a gran escala está suplantando activamente proyectos legítimos de código abierto y freeware, engañando a los usuarios para que descarguen malware avanzado. El modus operandi de la campaña implica la creación de portales falsos muy convincentes que imitan herramientas populares, y luego utiliza un **Sistema de Distribución de Tráfico (TDS)** para filtrar y entregar varias cargas útiles maliciosas. ### El Engañoso Atractivo de los Portales Falsos Investigadores de seguridad en **Check Point** han arrojado luz sobre este elaborado esquema. **Alexey Bukhteyev**, un investigador de seguridad de **Check Point**, señaló que "Los sitios están bien diseñados y a menudo parecen portales de proyectos legítimos a simple vista, a veces haciendo referencia a recursos reales de upstream". Este nivel de detalle dificulta que los usuarios distingan entre sitios genuinos y fraudulentos. El engaño se extiende más allá del atractivo visual. Cuando un usuario intenta descargar software de estos sitios, una capa de staging de JavaScript alojada en **CloudFront** intercepta el clic. Esta capa luego transfiere la solicitud a un **TDS** que aplica una lógica de filtrado estricta, incluyendo verificaciones de primera visita, confirmaciones de clic obligatorias, medidas anti-bot/anti-análisis, filtrado de VPN/centro de datos y limitación de frecuencia. Algunos de los sitios fraudulentos identificados imitan herramientas de ingeniería inversa y seguridad bien conocidas como **Ghidra**, **dnSpy** y **SpiderFoot**. Estos sitios están optimizados estratégicamente para motores de búsqueda como **Google**, apareciendo a menudo en la parte superior de los resultados de búsqueda y eclipsando las páginas legítimas del proyecto. ### Evolución de una Amenaza Una iteración anterior de esta campaña fue documentada por **Fullstory** en noviembre de 2023, con evidencia que sugiere actividad desde septiembre de 2023. En ese momento, la empresa con sede en Atlanta observó que los dominios se centraban en obtener clasificaciones favorables en los motores de búsqueda para generar tráfico y permitir la publicidad de terceros. Si bien inicialmente no distribuían malware directamente, los hallazgos más recientes de **Check Point** indican una escalada significativa. A partir de enero de 2024, se incrustaron los scripts del **TDS** y la infraestructura se reutilizó para la distribución directa de malware.  Crucialmente, el botón 'Descargar' en estos sitios falsos está diseñado para mostrar la URL de descarga legítima al pasar el cursor, proporcionando una apariencia de autenticidad. Sin embargo, hacer clic en el botón inicia la cadena de redireccionamiento malicioso del **TDS**. Para evadir aún más el análisis, los intentos repetidos de descarga desde la misma dirección IP pueden resultar en la entrega de software benigno, como el navegador **Opera** o extensiones de navegador inofensivas, en lugar de malware. ### El Arsenal de Malware El **TDS** está diseñado para entregar una variedad de familias de malware potentes: * **SessionGate**: Un cargador ofuscado y de múltiples etapas, previamente desconocido. Se utiliza para entregar aplicaciones potencialmente no deseadas (PUA) e incorpora extensos mecanismos anti-análisis, incluyendo el pivote a una experiencia de instalador benigno cuando se detecta un sandbox. * **Remus Stealer**: Un nuevo ladrón de información que opera bajo un modelo de malware como servicio (MaaS). Es capaz de exfiltrar datos de más de 20 navegadores, cientos de extensiones de navegador y aplicaciones, incluyendo billeteras de criptomonedas, herramientas de autenticación de dos factores y gestores de contraseñas. Se cree que **Remus Stealer** es una variante del notorio **Lumma Stealer**. * **AnimateClipper**: Un clipper de criptomonedas que puede sustituir direcciones de billetera copiadas al portapapeles, secuestrando transacciones en más de 20 ecosistemas de blockchain. A menudo se entrega a través de un señuelo **ClickFix**.  ### Alcance Global y Tácticas de Evasión La telemetría de **VirusTotal** revela aproximadamente entre 2.000 y 3.500 envíos de muestras vinculadas a la familia **SessionGate**. La mayoría de estas presentaciones se originan en Turquía, Polonia, Brasil, Alemania, Francia, Rusia y el Reino Unido, lo que indica un amplio impacto geográfico. La secuencia de infección de **SessionGate** es particularmente sofisticada. Entrega una carga útil única por cliente, solo después de un recorrido completo de la ruta de redireccionamiento. Esta cadena de entrega de múltiples etapas, junto con una lógica de validación extensa y el filtrado del lado del **TDS**, está diseñada para resistir activamente el análisis y hacer que la recuperación de la carga útil sea excepcionalmente desafiante para los investigadores de seguridad. La carga útil final de DLL se comunica con un servidor externo para recuperar una configuración cifrada, extrae una URL de descarga y ejecuta silenciosamente el malware de siguiente etapa utilizando `cmd.exe`.  Bukhteyev enfatiza que si bien el objetivo principal podría ser la adquisición de tráfico y la monetización, "al incrustar una capa de **TDS** filtrada y canalizar el tráfico de búsqueda hacia ella, los operadores se convierten en parte de una cadena de distribución cuyos consumidores posteriores pueden incluir distribuidores de malware. El mismo canal de tráfico que impulsa la monetización gris también puede dirigir selectivamente a usuarios reales a cargas útiles maliciosas". ### Consejos para Profesionales y Usuarios Dada la sofisticación de esta campaña, los profesionales de seguridad de TI deben reforzar la educación del usuario sobre la verificación de las fuentes de descarga de software. Navegue siempre directamente a los sitios web oficiales del proyecto o a repositorios confiables en lugar de depender únicamente de los resultados de los motores de búsqueda. Implemente soluciones sólidas de detección y respuesta de endpoints (EDR) y asegúrese de que el software de seguridad esté actualizado para detectar y bloquear estas amenazas de malware avanzadas.