Une opération malveillante à grande échelle usurpe activement des projets légitimes open-source et freeware, trompant les utilisateurs pour qu'ils téléchargent des malwares avancés. Le modus operandi de la campagne consiste à créer des portails falsifiés très convaincants qui imitent des outils populaires, puis à utiliser un **Traffic Distribution System (TDS)** pour filtrer et livrer diverses charges utiles malveillantes. ### L'Appât Trompeur des Portails Falsifiés Les chercheurs en sécurité de **Check Point** ont mis en lumière ce stratagème élaboré. **Alexey Bukhteyev**, chercheur en sécurité chez **Check Point**, a noté que "Les sites sont bien conçus et ressemblent souvent à des portails de projets légitimes à première vue, faisant parfois référence à de véritables ressources en amont." Ce niveau de détail rend difficile pour les utilisateurs de distinguer les sites authentiques des sites frauduleux. La tromperie va au-delà de l'attrait visuel. Lorsqu'un utilisateur tente de télécharger un logiciel depuis ces sites, une couche de staging JavaScript hébergée sur **CloudFront** intercepte le clic. Cette couche transmet ensuite la requête à un **TDS** qui applique une logique de filtrage stricte, incluant des vérifications de première visite, des confirmations de clic obligatoires, des mesures anti-bot/anti-analyse, un filtrage VPN/centre de données et un plafonnement de fréquence. Certains des sites frauduleux identifiés imitent des outils de rétro-ingénierie et de sécurité bien connus tels que **Ghidra**, **dnSpy**, et **SpiderFoot**. Ces sites sont stratégiquement optimisés pour les moteurs de recherche comme **Google**, apparaissant souvent en tête des résultats de recherche et éclipsant les pages de projets légitimes. ### Évolution d'une Menace Une version antérieure de cette campagne a été documentée par **Fullstory** en novembre 2023, avec des preuves suggérant une activité depuis septembre 2023. À l'époque, la société basée à Atlanta avait observé que les domaines se concentraient sur l'obtention de classements favorables dans les moteurs de recherche pour générer du trafic et permettre la publicité tierce. Bien qu'ils ne distribuaient pas directement de malwares initialement, les dernières découvertes de **Check Point** indiquent une escalade significative. À partir de janvier 2024, les scripts **TDS** ont été intégrés et l'infrastructure a été réutilisée pour la distribution directe de malwares.  Crucialement, le bouton 'Download' sur ces sites falsifiés est conçu pour afficher l'URL de téléchargement légitime au survol, offrant un vernis d'authenticité. Cependant, cliquer sur le bouton initie la chaîne de redirection malveillante du **TDS**. Pour mieux échapper à l'analyse, les tentatives répétées de téléchargement depuis la même adresse IP peuvent entraîner la livraison de logiciels bénins, tels que le navigateur **Opera** ou des extensions de navigateur inoffensives, au lieu de malwares. ### L'Arsenal des Malwares Le **TDS** est conçu pour livrer une gamme de familles de malwares puissantes : * **SessionGate** : Un chargeur multi-étapes et obfusqué, jusqu'alors inconnu. Il est utilisé pour livrer des applications potentiellement indésirables (PUA) et intègre des mécanismes anti-analyse étendus, y compris un pivotement vers une expérience d'installation bénigne lorsqu'un sandbox est détecté. * **Remus Stealer** : Un nouveau voleur d'informations fonctionnant sous un modèle de malware-as-a-service (MaaS). Il est capable d'exfiltrer des données de plus de 20 navigateurs, de centaines d'extensions de navigateur et d'applications, y compris des portefeuilles de cryptomonnaies, des outils d'authentification à deux facteurs et des gestionnaires de mots de passe. **Remus Stealer** est considéré comme une variante du tristement célèbre **Lumma Stealer**. * **AnimateClipper** : Un clipper de cryptomonnaies qui peut substituer les adresses de portefeuille copiées dans le presse-papiers, détournant ainsi les transactions sur plus de 20 écosystèmes de blockchain. Il est souvent livré via un leurre **ClickFix**.  ### Portée Mondiale et Tactiques d'Évasion La télémétrie de **VirusTotal** révèle environ 2 000 à 3 500 soumissions d'échantillons liés à la famille **SessionGate**. La majorité de ces soumissions proviennent de Turquie, de Pologne, du Brésil, d'Allemagne, de France, de Russie et du Royaume-Uni, indiquant un large impact géographique. La séquence d'infection de **SessionGate** est particulièrement sophistiquée. Elle délivre une charge utile unique par client, uniquement après un parcours complet du chemin de redirection. Cette chaîne de livraison multi-étapes, associée à une logique de validation étendue et à un filtrage côté **TDS**, est conçue pour résister activement à l'analyse et rendre la récupération de la charge utile exceptionnellement difficile pour les chercheurs en sécurité. La charge utile DLL finale communique avec un serveur externe pour récupérer une configuration chiffrée, extrait une URL de téléchargement et exécute silencieusement la charge utile de l'étape suivante à l'aide de `cmd.exe`.  Bukhteyev souligne que bien que l'objectif principal puisse être l'acquisition de trafic et la monétisation, "en intégrant une couche **TDS** filtrée et en y canalisant le trafic de recherche, les opérateurs font partie d'une chaîne de distribution dont les consommateurs en aval peuvent inclure des distributeurs de malwares. Le même pipeline de trafic qui génère une monétisation grise peut également acheminer sélectivement de vrais utilisateurs vers des charges utiles malveillantes." ### Conseils pour les Professionnels et les Utilisateurs Compte tenu de la sophistication de cette campagne, les professionnels de la sécurité informatique devraient renforcer l'éducation des utilisateurs sur la vérification des sources de téléchargement de logiciels. Naviguez toujours directement vers les sites web officiels des projets ou les dépôts de confiance plutôt que de vous fier uniquement aux résultats des moteurs de recherche. Mettez en œuvre des solutions robustes de détection et de réponse des points d'extrémité (EDR) et assurez-vous que les logiciels de sécurité sont à jour pour détecter et bloquer ces menaces de malwares avancées.