Cybersecurity-onderzoekers hebben een grootschalige operatie gemarkeerd die open-source- en freeware-projecten nabootst om nietsvermoedende gebruikers door een Traffic Distribution System (TDS) te leiden en malwarefamilies zoals Remus Stealer, AnimateClipper en het SessionGate-framework te leveren.
“De sites zijn goed ontworpen en zien er in één oogopslag vaak uit als legitieme projectportals, waarbij ze soms verwijzen naar echte upstream-bronnen”, zei beveiligingsonderzoeker Alexey Bukhteyev van Check Point in een overzicht van de campagne. “De misleiding zit niet alleen in de pagina-inhoud, maar ook in wat er gebeurt als een gebruiker interactie heeft.”
“Deze pagina’s laden een door CloudFront gehoste JavaScript-staginglaag die een klik op een ‘download’-knop/link omzet in een overdracht naar een Traffic Distribution System (TDS). De TDS dwingt strikte poorten af: eerste bezoekstatus, verplichte klikbevestiging, anti-bot/anti-analyselogica, VPN/datacenterfiltering en frequentielimieten.”
Er wordt vermoed dat de operatie is ontworpen voor het verwerven van verkeer en het genereren van inkomsten, terwijl geselecteerde gebruikers naar de infrastructuur voor het leveren van malware worden geleid. Sommige van de geïdentificeerde sites bootsen vertrouwde reverse-engineering- en beveiligingstools na, zoals Ghidra, dnSpy en SpiderFoot.
Aanvalsketens richten zich specifiek op gebruikers die naar dergelijke tools zoeken op zoekmachines zoals Google, waardoor de nepsites bovenaan de zoekresultaten verschijnen. Een vroege versie van de campagne werd in november 2025 gedocumenteerd door Fullstory. Er zijn aanwijzingen dat de activiteit al sinds september 2025 aan de gang is.
“Deze domeinen zijn gericht op het verkrijgen van een gunstige ranking in zoekmachines door gebruik te maken van de naam, het merk en de populariteit van de oorspronkelijke websites en projecten”, merkte het in Atlanta gevestigde bedrijf destijds op. “Veel sites staan in de topposities op Google voor de relevante zoekterm, waardoor ze vaak de website van het echte project overschaduwen. Dit maakt hun zichtbaarheid een pluspunt en kan links en inhoud maximaliseren.”
Hoewel er geen aanwijzingen waren dat een van deze domeinen werd gebruikt voor kwaadaardige activiteiten, anders dan om inhoud te genereren om verkeer te genereren en derden in staat te stellen reclame te maken voor hun eigen sites, laten de laatste bevindingen van Check Point zien dat de TDS-scripts niet lang daarna werden ingebed en dat de infrastructuur vanaf januari 2026 werd herbestemd voor de verspreiding van malware.
Als u op de knop ‘Downloaden’ klikt, wordt een TDS-omleidingsketen gestart die resulteert in de inzet van malware. Een van de meest opvallende aspecten is dat als u met de muis over de knop beweegt, de legitieme URL wordt onthuld waar de tool kan worden gedownload, waardoor de site een laagje legitimiteit krijgt.
De omleidingsketens zijn ook zo ontworpen dat herhaalde pogingen om deze vanaf hetzelfde IP-adres in te voeren resulteren in het downloaden van goedaardige software, zoals de Opera-browser of onnodige browserextensies. Enkele van de payloads die via deze TDS worden gedistribueerd, worden hieronder vermeld:
- SessieGateeen voorheen onbekende meerfasige, versluierde lader die wordt gebruikt om potentieel ongewenste applicaties (PUA) af te leveren, terwijl hij uitgebreide anti-analysemechanismen bevat om sandboxes af te werpen door te draaien naar een goedaardige installatie-ervaring.
- Remus Stealereen nieuwe informatiedief die wordt aangeboden onder een Malware-as-a-Service (MaaS)-model, kan gegevens stelen uit meer dan twintig browsers, waaronder honderden browserextensies en -applicaties, zoals portemonnees voor cryptocurrency, tweefactorauthenticatietools en wachtwoordbeheerders. Er wordt aangenomen dat Remus een variant is van de Lumma Stealer.
- AnimateClippereen cryptocurrency-clipper die portemonnee-adressen kan vervangen die naar het klembord zijn gekopieerd en transacties in meer dan twintig blockchain-ecosystemen kan kapen. Het wordt geleverd door middel van een ClickFix-lokmiddel.
Een analyse van VirusTotal-telemetrie heeft tot nu toe ongeveer 2.000 tot 3.500 inzendingen van monsters onthuld die verband houden met de SessionGate-familie. De overgrote meerderheid van de inzendingen is afkomstig uit Turkije, Polen, Brazilië, Duitsland, Frankrijk, Rusland en het Verenigd Koninkrijk
Het einddoel van de SessionGate-infectiereeks is het droppen van een payload die uniek is per client en pas wordt geleverd nadat het omleidingspad van begin tot eind is doorlopen. De uit meerdere fasen bestaande leveringsketen, gecombineerd met een uitgebreide validatielogica en TDS-side-gating, is ontworpen om analyse te weerstaan en het ophalen van de payload tot een uitdagende taak voor analisten te maken.
De uiteindelijke DLL-payload is verantwoordelijk voor de communicatie met een externe server, het ophalen van een gecodeerde configuratie van de server, het extraheren van de download-URL uit de configuratie en het downloaden en stil uitvoeren van de volgende fase van malware via “cmd.exe”.
“De toegangssites bootsen legitieme open-source projectportals na, behouden echte GitHub-links om snelle visuele controles te doorstaan, en gebruiken vervolgens klikonderschepping om de eerste downloadklik naar een gated TDS-stack te leiden,” zei Bukhteyev.
“Het meer plausibele primaire doel is het verwerven van verkeer en het genereren van inkomsten. Door echter een gated TDS-laag in te bedden en zoekverkeer daarin te leiden, worden de operators onderdeel van een distributieketen waarvan de downstream-consumenten malwaredistributeurs kunnen omvatten. Dezelfde verkeerspijplijn die grijze inkomsten genereert, kan echte gebruikers ook selectief naar kwaadaardige payloads leiden.”
