Megszemélyesítés, kattintáseltérítés
A Check Point egy nagyméretű malware-terjesztő hálózatot tárt fel, amely népszerű nyílt forráskódú és ingyenes programok hivatalos weboldalait utánozza, majd a letöltési folyamat során egy forgalomelosztó rendszeren (TDS) keresztül dönti el, hogy a látogató valódi telepítőt vagy rosszindulatú állományt kapjon. A kampány olyan ismert eszközöket személyesít meg, mint a Ghidra, a dnSpy, a SpiderFootvagy más, biztonsági szakemberek és fejlesztők által használt alkalmazások.
A támadási lánc során a felhasználó egy legitimnek tűnő Download gombra kattint, azonban a háttérben egy Amazon CloudFronton hosztolt JavaScript-kód aktiválódik, amely a böngésző jellemzői, a földrajzi hely, az IP-cím, a felhasználói profil és egyéb paraméterek alapján továbbítja a kérést a TDS-infrastruktúrához. A rendszer így képes megkülönböztetni a valódi áldozatokat a kutatóktól vagy automatikus elemzőrendszerektől.
A Check Point szerint a TDS több különböző kártevőcsalád terjesztésére szolgál. A vizsgált kampányokban azonosították a RemusStealer hitelesítőadat-lopó programot, az AnimateClipper kriptovaluta-címcserélő malware-t, valamint a SessionGate keretrendszert, amely potenciálisan nem kívánt alkalmazások (PUA) és további káros komponensek telepítésére használható. Az infrastruktúra tehát moduláris felépítésű, és az aktuális kampány igényei szerint különböző végső hasznos terheket képes kiszolgálni.
A kutatók megállapították, hogy az áloldalak legalább 2025 vége óta működnek, míg az aktív malware-terjesztés 2026 elején indult meg. A VirusTotal adatai alapján a kampányhoz kapcsolódó mintákból már több mint 5000 feltöltést regisztráltak, ami arra utal, hogy a tényleges áldozatszám ennél lényegesen magasabb lehet.
A kampány kifejezetten biztonsági kutatókat, fejlesztőket és rendszergazdákat is célba vesz, akik rendszeresen töltenek le nyílt forráskódú elemzőeszközöket. A Check Point szerint a támadók egyre inkább a szoftverellátási lánc és a felhasználói bizalom kihasználására építenek, miközben legitim infrastruktúrát és professzionális kinézetű weboldalakat alkalmaznak a felismerés elkerülése érdekében. A védekezés alapja, hogy szoftvereket kizárólag a hivatalos projektoldalakról vagy a hiteles GitHub-tárolókból töltsenek le, valamint célszerű ellenőrizni a digitális aláírásokat és a letöltött állományok hash-értékeit.
