Los investigadores de ciberseguridad han señalado una operación a gran escala que se hace pasar por proyectos de código abierto y de software gratuito para atraer a usuarios desprevenidos a través de sistemas de distribución de tráfico (TDS) y entregar familias de malware como los marcos Remus Stealer, AnimateClipper y SessionGate.
«Estos sitios están bien diseñados y a menudo parecen portales de proyectos legítimos a primera vista, a veces haciendo referencia a recursos reales», dijo el investigador de seguridad de Check Point, Alexei Bukteev, en un desglose de la campaña. «El engaño no radica sólo en el contenido de la página, sino en lo que sucede cuando el usuario interactúa».
«Estas páginas cargan una capa de preparación de JavaScript alojada en CloudFront que convierte un clic en un botón/enlace de ‘descarga’ en una transferencia a un sistema de distribución de tráfico (TDS). TDS aplica controles estrictos, como el estado de la primera visita, la confirmación obligatoria del clic, la lógica anti-bot/antinalítica, el filtrado de VPN/centro de datos y los límites de frecuencia».
Se sospecha que esta operación está diseñada para la adquisición y monetización de tráfico mientras dirige a usuarios específicos a la infraestructura de distribución de malware. Algunos de los sitios identificados imitan herramientas confiables de seguridad e ingeniería inversa, como Ghidra, dnSpy y SpiderFoot.
La cadena de ataque se dirige específicamente a los usuarios que buscan este tipo de herramientas en motores de búsqueda como Google, garantizando que el sitio falso aparezca más alto en los resultados de búsqueda. Fullstory documentó una versión anterior de la campaña en noviembre de 2025. La evidencia indica que esta actividad ha estado en curso desde septiembre de 2025.
«Estos dominios se centran en aprovechar el nombre, la marca y la popularidad del sitio web o proyecto original para obtener clasificaciones favorables en los motores de búsqueda», señaló en ese momento la empresa con sede en Atlanta. «Muchos sitios ocupan un lugar destacado en Google en cuanto a términos de búsqueda relevantes, y a menudo superan a los sitios web de proyectos reales. Esto hace que la visibilidad de su sitio sea una ventaja y le permite maximizar los enlaces y el contenido».
Aunque no hubo evidencia de que estos dominios se usaran para alguna actividad maliciosa que no sea generar contenido para generar tráfico y permitir que terceros promocionen sus sitios, los últimos hallazgos de Check Point indican que su infraestructura fue reutilizada para la distribución de malware a partir de enero de 2026, poco después de que se implantara el script TDS.
Al hacer clic en el botón (Descargar), se inicia la cadena de redireccionamiento TDS y se implementa el malware. Uno de los aspectos más impresionantes es que al pasar el cursor sobre el botón se muestra una URL legítima donde puede descargar la herramienta, lo que otorga legitimidad al sitio.
Las cadenas de redireccionamiento están diseñadas para que intentos repetidos desde la misma dirección IP resulten en la descarga de software benigno, como el navegador Opera o extensiones de navegador no deseadas. Algunas de las cargas útiles distribuidas a través de este TDS se muestran a continuación.
SessionGate es un cargador de ofuscación de múltiples etapas previamente desconocido que se utiliza para entregar aplicaciones potencialmente no deseadas (PUA) que incorpora amplios mecanismos anti-análisis para eliminar el sandboxing al pasar a una experiencia de instalación benigna. Remus Stealer es un nuevo ladrón de información entregado en un modelo de malware como servicio (MaaS) que puede robar datos de más de 20 navegadores, incluidos cientos de extensiones y aplicaciones de navegador, incluidas billeteras criptográficas, herramientas de autenticación de dos factores, administradores de contraseñas y más. Se cree que Remus es una variante del Luma Stealer. AnimateClipper es un recortador de criptomonedas que puede reemplazar las direcciones de billetera copiadas en el portapapeles y secuestrar transacciones en más de 20 ecosistemas blockchain. Esto lo entrega ClickFix Lure.
El análisis de la telemetría de VirusTotal revela que hasta la fecha se han enviado aproximadamente entre 2000 y 3500 muestras relacionadas con la familia SessionGate. La mayoría de los participantes proceden de Türkiye, Polonia, Brasil, Alemania, Francia, Rusia y el Reino Unido.
El objetivo final de la secuencia de infección SessionGate es eliminar una carga útil que sea única para cada cliente y que solo se entregue después de atravesar la ruta de redireccionamiento de un extremo a otro. La cadena de entrega de múltiples etapas, combinada con una extensa lógica de validación y puertas en el lado de TDS, está diseñada para resistir el análisis y hacer que la recuperación de la carga útil sea una tarea difícil para los analistas.
La carga útil final de la DLL se comunica con el servidor externo, recupera la configuración cifrada del servidor, extrae la URL de descarga de la configuración y descarga y ejecuta silenciosamente la siguiente etapa del malware a través de «cmd.exe».
«El sitio de entrada imita un portal legítimo de proyecto de código abierto, almacena enlaces reales de GitHub para pasar una verificación visual rápida y utiliza la interceptación de clics para enrutar el primer clic de descarga a una pila TDS cerrada», dijo Bukteev.
«Un objetivo principal más plausible es la adquisición de tráfico y la monetización. Sin embargo, al incorporar una capa TDS cerrada y canalizar el tráfico de búsqueda en ella, un operador se convierte en parte de una cadena de distribución que puede incluir distribuidores de malware entre sus consumidores posteriores. El mismo canal de tráfico que impulsa la monetización gris también puede enrutar selectivamente a usuarios reales a cargas útiles maliciosas».
Source link
