Хакеры создали поддельные сайты популярных инструментов безопасности и используют их для рекламы и распространения вредоносного ПО

Команда Check Point Research обнаружила сеть из более чем ста сайтов, маскирующихся под популярные open source-инструменты для анализа вредоносного ПО. Через эти ресурсы операторы зарабатывают на рекламном трафике и одновременно подсовывают части посетителей загрузчики, стилеры и криптоклипперы.

Атакующие сделали ставку на бренды, которым по умолчанию доверяет техническая аудитория. Среди подделок засветились копии Ghidra, dnSpy и SpiderFoot — инструментов, без которых не обходится работа реверс-инженеров и аналитиков вредоносного кода. Сайты подделывают интерфейсы оригиналов, копируют описание функций, ставят правдоподобные ссылки на «скачать» и подтягиваются в топ поисковой выдачи Google за счёт продуманной SEO-оптимизации.

Посетитель такого ресурса попадает не в прямую загрузку, а в закрытую систему распределения трафика — TDS. Она решает, что показать конкретному пользователю в зависимости от региона, поведения и других сигналов.

Через TDS распределяются три семейства вредоносного ПО:

• SessionGate — многоступенчатый загрузчик, который заметно усложняет извлечение основной полезной нагрузки и мешает песочницам добраться до финального модуля.
• RemusStealer — инфостилер, нацеленный на браузеры и расширения, выгребающий пароли, токены сессий и сохранённые данные.
• AnimateClipper — клиппер, отслеживающий буфер обмена и подменяющий адреса кошельков более чем в двадцати блокчейн-сетях.

Стоит обратить внимание, что выбор маскировки тут неслучайный — мимикрия идёт под Ghidra и dnSpy, инструменты, которые открывают как раз специалисты по обратному инжинирингу и анализу вредоносного ПО.

Вредоносная нагрузка — не главное в этой схеме. Аналитики CPR прямо говорят, что монетизация трафика для операторов важнее точечных заражений. TDS направляет основную массу посетителей на рекламные офферы, генерирующие доход с показов и кликов, и лишь часть пользователей получает вредоносный исполняемый файл. Получается двойная воронка, где рекламная сеть и распространение зловредов работают из одной точки.

Масштаб кампании впечатляет. Зафиксировано свыше ста доменов и более 5000 связанных отправок на VirusTotal, что говорит о широком распространении файлов и активной ротации образцов. Точное число пострадавших аналитики не называют, но круг затронутых явно выходит за пределы одной страны или языковой группы.

Отмечается, что один и тот же канал доставки трафика умеет и приносить теневой рекламный доход, и выборочно подсовывать живым пользователям вредоносные программы — без необходимости менять инфраструктуру.

Технически каждое из трёх семейств закрывает свою задачу. SessionGate растягивает цепочку доставки на несколько шагов, прячет реальный пейлоад за дополнительными загрузками и расшифровкой, что мешает автоматическому анализу. RemusStealer заточен под современный браузерный стек, вытаскивая данные из Chromium-совместимых обозревателей и популярных расширений для криптокошельков и менеджеров паролей. AnimateClipper же бьёт по самой болезненной точке криптовалютных пользователей — подменяет адреса прямо в момент копирования, и неосторожный перевод уходит на кошелёк злоумышленника.

География атаки глобальная, целевая аудитория узкая и квалифицированная. Под удар попадают именно те, кто привык скачивать утилиты с малоизвестных доменов, проверять бинарники в песочницах и доверять собственному опыту больше, чем антивирусу. Подделка ресурсов реверс-инструментов — это атака на привычку.

Что рекомендуют делать аналитики CPR для снижения риска:

• Сверять домен загрузки с официальными репозиториями проектов на GitHub и страницами разработчиков, не доверять верхним строчкам поисковой выдачи автоматически.
• Скачивать инструменты только с проверенных источников, по возможности — клонировать репозиторий напрямую.
• Проверять хеши загруженных файлов и сверять их с опубликованными авторами.
• Запускать незнакомые бинарники в изолированной среде перед основной работой.
• Следить за поведением буфера обмена при операциях с криптовалютой — клипперы выдают себя именно подменой адресов.

Эксперты говорят и про гибкость TDS. Операторы могут менять конечную нагрузку для разных групп посетителей, отключать вредоносный сценарий для подозрительных IP, выдавать чистую рекламу исследователям и реальный зловред массовому пользователю. Такая архитектура продлевает жизнь кампании и затрудняет атрибуцию, потому что один и тот же домен в разное время отдаёт разный контент.

Бизнес-модель тут гибридная и устойчивая. Рекламный доход идёт постоянным потоком и не требует от операторов риска, связанного с массовым заражением. Вредоносное ПО подключается там, где аналитика трафика показывает интересную цель — корпоративную сеть, кошелёк с активами, машину разработчика с доступом к репозиториям. Деньги поступают по двум каналам сразу, а инфраструктуру можно поддерживать практически бесконечно за счёт ротации доменов.

Ранее сообщалось, что связанная с Китаем группировка TA4922 начала использовать новый троян Atlas RAT в атаках на организации в Германии, Италии, Великобритании и ЮАР. По данным исследователей Proofpoint, вредоносная программа способна похищать файлы, записывать звук с микрофона, перехватывать ввод с клавиатуры и получать изображения с веб-камеры. Аналитики также отмечали заметный рост числа параллельно проводимых атакующих кампаний, который наблюдается с марта.

Эксперты редакции CISOCLUB сообщили, что эта кампания — показательный пример того, как меняется экономика киберпреступности. Атакующие больше не гонятся за тотальным охватом, им выгоднее построить устойчивую рекламную воронку с опциональной вредоносной нагрузкой. Подделка именно реверс-инструментов выбрана осознанно, ведь техническая аудитория ценнее массовой как в плане доступа к корпоративным ресурсам, так и в плане криптовалютных активов на машинах.

Защититься тут поможет только дисциплина в работе с источниками загрузок и привычка проверять домены вручную, а не доверять поисковой выдаче. Ситуация ещё раз доказывает, что доверие к бренду в open source — отдельный актив, который злоумышленники научились эксплуатировать ничуть не хуже, чем уязвимости в коде.