Uma operação maliciosa em larga escala está ativamente se passando por projetos legítimos de código aberto e freeware, enganando usuários para que baixem malwares avançados. O modus operandi da campanha envolve a criação de portais falsos altamente convincentes que imitam ferramentas populares, e então o uso de um **Traffic Distribution System (TDS)** para filtrar e entregar vários payloads maliciosos. ### A Isca Enganosa de Portais Falsos Pesquisadores de segurança da **Check Point** lançaram luz sobre este esquema elaborado. **Alexey Bukhteyev**, um pesquisador de segurança da **Check Point**, observou que "Os sites são bem projetados e muitas vezes parecem portais de projetos legítimos à primeira vista, às vezes referenciando recursos upstream reais." Este nível de detalhe torna desafiador para os usuários distinguirem entre sites genuínos e fraudulentos. A decepção se estende além do apelo visual. Quando um usuário tenta baixar software desses sites, uma camada de staging JavaScript hospedada na **CloudFront** intercepta o clique. Essa camada então passa a solicitação para um **TDS** que aplica uma lógica de filtragem rigorosa, incluindo verificações de primeira visita, confirmações de clique obrigatórias, medidas anti-bot/anti-análise, filtragem de VPN/datacenter e limitação de frequência. Alguns dos sites fraudulentos identificados imitam ferramentas conhecidas de engenharia reversa e segurança, como **Ghidra**, **dnSpy** e **SpiderFoot**. Esses sites são estrategicamente otimizados para mecanismos de busca como o **Google**, aparecendo frequentemente no topo dos resultados de busca e eclipsando as páginas legítimas dos projetos. ### Evolução de uma Ameaça Uma iteração anterior desta campanha foi documentada pela **Fullstory** em novembro de 2023, com evidências sugerindo atividade desde setembro de 2023. Naquela época, a empresa sediada em Atlanta observou que os domínios se concentravam em obter classificações favoráveis nos motores de busca para gerar tráfego e permitir publicidade de terceiros. Embora inicialmente não distribuíssem malware diretamente, as descobertas mais recentes da **Check Point** indicam uma escalada significativa. A partir de janeiro de 2024, os scripts do **TDS** foram incorporados e a infraestrutura foi reutilizada para distribuição direta de malware.  Crucialmente, o botão 'Download' nesses sites falsos é projetado para exibir o URL de download legítimo ao passar o mouse sobre ele, fornecendo uma aparência de autenticidade. No entanto, clicar no botão inicia a cadeia de redirecionamento malicioso do **TDS**. Para evadir ainda mais a análise, tentativas repetidas de download do mesmo endereço IP podem resultar na entrega de software benigno, como o navegador **Opera** ou extensões de navegador inofensivas, em vez de malware. ### O Arsenal de Malware O **TDS** é projetado para entregar uma variedade de famílias de malware potentes: * **SessionGate**: Um carregador multi-estágio e ofuscado, anteriormente desconhecido. É usado para entregar aplicativos potencialmente indesejados (PUA) e incorpora mecanismos extensivos anti-análise, incluindo o pivô para uma experiência de instalador benigna quando um sandbox é detectado. * **Remus Stealer**: Um novo roubador de informações operando sob um modelo de malware-como-serviço (MaaS). É capaz de exfiltrar dados de mais de 20 navegadores, centenas de extensões de navegador e aplicativos, incluindo carteiras de criptomoedas, ferramentas de autenticação de dois fatores e gerenciadores de senhas. Acredita-se que o **Remus Stealer** seja uma variante do notório **Lumma Stealer**. * **AnimateClipper**: Um clipper de criptomoedas que pode substituir endereços de carteira copiados para a área de transferência, sequestrando transações em mais de 20 ecossistemas de blockchain. É frequentemente entregue via um chamariz **ClickFix**.  ### Alcance Global e Táticas de Evasão Telemetria do **VirusTotal** revela aproximadamente 2.000 a 3.500 submissões de amostras ligadas à família **SessionGate**. A maioria dessas submissões se origina da Turquia, Polônia, Brasil, Alemanha, França, Rússia e Reino Unido, indicando um amplo impacto geográfico. A sequência de infecção do **SessionGate** é particularmente sofisticada. Ela entrega um payload único por cliente, apenas após uma travessia completa do caminho de redirecionamento. Esta cadeia de entrega multi-estágio, juntamente com a lógica de validação extensiva e a filtragem do lado do **TDS**, é projetada para resistir ativamente à análise e tornar a recuperação do payload excepcionalmente desafiadora para pesquisadores de segurança. O payload DLL final se comunica com um servidor externo para recuperar uma configuração criptografada, extrai um URL de download e executa silenciosamente o malware de próximo estágio usando `cmd.exe`.  Bukhteyev enfatiza que, embora o objetivo principal possa ser a aquisição de tráfego e monetização, "ao incorporar uma camada de **TDS** filtrada e direcionar o tráfego de busca para ela, os operadores se tornam parte de uma cadeia de distribuição cujos consumidores downstream podem incluir distribuidores de malware. O mesmo pipeline de tráfego que impulsiona a monetização cinza também pode rotear seletivamente usuários reais para payloads maliciosos." ### Recomendações para Profissionais e Usuários Dada a sofisticação desta campanha, os profissionais de segurança de TI devem reforçar a educação do usuário sobre a verificação das fontes de download de software. Sempre navegue diretamente para os sites oficiais dos projetos ou repositórios confiáveis, em vez de depender apenas dos resultados dos motores de busca. Implemente soluções robustas de detecção e resposta de endpoint (EDR) e certifique-se de que o software de segurança esteja atualizado para detectar e bloquear essas ameaças avançadas de malware.