Ссылка на GitHub, а внутри — вредонос. Мошенники превратили поиск бесплатных программ в настоящую пытку
NewsMakerОдин неосторожный клик открывает двери туда, куда пользователь точно не собирался.
Поиск привычных утилит всё чаще превращается в ловушку: сайт выглядит как официальный, ссылка при наведении ведёт на GitHub, дизайн не вызывает подозрений, но первый же клик по кнопке загрузки может отправить пользователя на совсем другой адрес. Команда Check Point Research под руководством Алексея Бухтеева описала новую мошенническую схему, где поддельные страницы проектов с открытым кодом и бесплатных программ направляли трафик к вредоносной инфраструктуре.
Операторы кампании создавали сайты, похожие на порталы популярного программного обеспечения, включая Ghidra, dnSpy, ILSpy, SpiderFoot, grpcurl, MQTT Explorer и CrystalDiskMark. Часть доменов поднималась высоко в поисковой выдаче Google, поэтому пользователь мог принять подделку за настоящий сайт проекта. Страницы часто сохраняли ссылки на реальные репозитории, но загружали JavaScript-компонент через Amazon CloudFront, который перехватывал первое нажатие на кнопку «Download».
После клика пользователь попадал в Traffic Distribution System ( TDS ), то есть систему распределения трафика. Она проверяла IP-адрес, страну, браузер, признаки VPN, поведение клиента и частоту визитов. При повторной попытке сайт мог открыть обычную ссылку или предложить безвредное ПО, из-за чего анализ становился сложнее. По данным Check Point Research, кластер включал более 100 активных сайтов, а связанные образцы набрали свыше 5000 отправок в VirusTotal.
Дальше цепочка расходилась по нескольким направлениям. Одни пользователи попадали на партнёрские страницы загрузки и потенциально нежелательные приложения, другие получали вредоносные программы. Среди выявленных семейств оказались RemusStealer, AnimateClipper и ранее неизвестная платформа SessionGate.
Платформа SessionGate выделялась многоступенчатой доставкой и жёсткой фильтрацией. Загрузчик мог показывать обычный установщик 7-Zip, если среда выглядела подозрительно, но при успешной проверке связывался с управляющими серверами и получал дальнейшие компоненты. Ключи для расшифровки модулей выдавались через серверную проверку и, по оценке авторов отчёта, могли быть привязаны к конкретной сессии. Такой подход мешал повторить заражение в лаборатории и скрывал итоговый компонент.
RemusStealer нацеливался на данные браузеров, расширения криптокошельков, менеджеры паролей, 2FA-инструменты, файлы, реестр, буфер обмена и снимки экрана. В одной из задач вредонос получил список из 332 расширений, среди них MetaMask, Phantom, Bitwarden, 1Password, LastPass, Authy и другие популярные продукты.
Ещё одна ветка вела к ClickFix -странице, которая имитировала проверку Cloudflare и убеждала запустить команду через mshta.exe. Финальной нагрузкой становился AnimateClipper. Программа следила за буфером обмена и подменяла адреса криптокошельков на адреса злоумышленников, а управляющий сервер искала через запрос к смарт-контракту в BNB Smart Chain Testnet.
Авторы отчёта считают, что вся инфраструктура могла изначально работать как система монетизации трафика, а не как полностью вредоносная операция. Но встроенный TDS-слой позволял передавать подходящие сессии сторонним операторам, включая распространителей вредоносного ПО. В результате один внешний признак доверия — аккуратный сайт из поисковой выдачи — превратился в часть цепочки, которую пользователь почти не мог проверить.
Поиск привычных утилит всё чаще превращается в ловушку: сайт выглядит как официальный, ссылка при наведении ведёт на GitHub, дизайн не вызывает подозрений, но первый же клик по кнопке загрузки может отправить пользователя на совсем другой адрес. Команда Check Point Research под руководством Алексея Бухтеева описала новую мошенническую схему, где поддельные страницы проектов с открытым кодом и бесплатных программ направляли трафик к вредоносной инфраструктуре.
Операторы кампании создавали сайты, похожие на порталы популярного программного обеспечения, включая Ghidra, dnSpy, ILSpy, SpiderFoot, grpcurl, MQTT Explorer и CrystalDiskMark. Часть доменов поднималась высоко в поисковой выдаче Google, поэтому пользователь мог принять подделку за настоящий сайт проекта. Страницы часто сохраняли ссылки на реальные репозитории, но загружали JavaScript-компонент через Amazon CloudFront, который перехватывал первое нажатие на кнопку «Download».
После клика пользователь попадал в Traffic Distribution System ( TDS ), то есть систему распределения трафика. Она проверяла IP-адрес, страну, браузер, признаки VPN, поведение клиента и частоту визитов. При повторной попытке сайт мог открыть обычную ссылку или предложить безвредное ПО, из-за чего анализ становился сложнее. По данным Check Point Research, кластер включал более 100 активных сайтов, а связанные образцы набрали свыше 5000 отправок в VirusTotal.
Дальше цепочка расходилась по нескольким направлениям. Одни пользователи попадали на партнёрские страницы загрузки и потенциально нежелательные приложения, другие получали вредоносные программы. Среди выявленных семейств оказались RemusStealer, AnimateClipper и ранее неизвестная платформа SessionGate.
Платформа SessionGate выделялась многоступенчатой доставкой и жёсткой фильтрацией. Загрузчик мог показывать обычный установщик 7-Zip, если среда выглядела подозрительно, но при успешной проверке связывался с управляющими серверами и получал дальнейшие компоненты. Ключи для расшифровки модулей выдавались через серверную проверку и, по оценке авторов отчёта, могли быть привязаны к конкретной сессии. Такой подход мешал повторить заражение в лаборатории и скрывал итоговый компонент.
RemusStealer нацеливался на данные браузеров, расширения криптокошельков, менеджеры паролей, 2FA-инструменты, файлы, реестр, буфер обмена и снимки экрана. В одной из задач вредонос получил список из 332 расширений, среди них MetaMask, Phantom, Bitwarden, 1Password, LastPass, Authy и другие популярные продукты.
Ещё одна ветка вела к ClickFix -странице, которая имитировала проверку Cloudflare и убеждала запустить команду через mshta.exe. Финальной нагрузкой становился AnimateClipper. Программа следила за буфером обмена и подменяла адреса криптокошельков на адреса злоумышленников, а управляющий сервер искала через запрос к смарт-контракту в BNB Smart Chain Testnet.
Авторы отчёта считают, что вся инфраструктура могла изначально работать как система монетизации трафика, а не как полностью вредоносная операция. Но встроенный TDS-слой позволял передавать подходящие сессии сторонним операторам, включая распространителей вредоносного ПО. В результате один внешний признак доверия — аккуратный сайт из поисковой выдачи — превратился в часть цепочки, которую пользователь почти не мог проверить.