Sites falsos de ferramentas abertas distribuem malware por roteamento de cliques

A campanha usa portais de download que imitam projetos confiáveis, intercepta o primeiro clique do usuário e encaminha sessões por um TDS capaz de entregar RemusStealer, AnimateClipper e o malware SessionGate.

Componente	Ecossistema de sites que imitam páginas de projetos open source e freeware, incluindo ferramentas de engenharia reversa como Ghidra e dnSpy.
Vetor	O primeiro clique em botões ou links de download é interceptado por JavaScript carregado via Amazon CloudFront e redirecionado para um sistema de distribuição de tráfego.
Impacto	Usuários podem receber software indesejado, extensões desnecessárias ou cargas maliciosas, incluindo RemusStealer, AnimateClipper e SessionGate.
Prioridade	Bloquear e investigar portais de download não oficiais, revisar telemetria de navegação pós-clique e tratar instaladores obtidos por busca orgânica como artefatos não confiáveis.
Artefatos	A cadeia envolve scripts TDS em CloudFront, armazenamento de estado em `localStorage`, eventos como `mousedown` e `click`, e redirecionadores como `file-enter-web[.]com`.
IoCs	Indicadores observados incluem `media.stellarcloudhub1[.]cfd`, `arch2.maxdatahost1[.]cyou`, `javascriptapiusa[.]com` e rotas que podem terminar em `mega[.]nz`.

Resumo técnico

Uma campanha de distribuição de malware passou a explorar a confiança criada por resultados de busca e por páginas visualmente semelhantes a portais oficiais de projetos populares. O fluxo começa quando o usuário procura um software conhecido, acessa um site com aparência profissional e encontra links que parecem apontar para repositórios ou páginas legítimas. O elemento decisivo não é apenas a imitação visual, mas a manipulação do clique: a página mantém um destino plausível no atributo visível do link, enquanto um script carregado previamente assume a interação e envia a sessão para uma cadeia controlada por um sistema de distribuição de tráfego.

A operação não parece limitada a uma única família de malware. Foram observadas entregas de RemusStealer, AnimateClipper e SessionGate, além de caminhos que terminam em software benigno ou extensões de navegador não necessariamente maliciosas. Essa variação indica uso de roteamento seletivo, em que geografia, navegador, impressão digital do cliente, VPN, repetição de acesso, domínio de entrada e regras de campanha influenciam o resultado. A consequência defensiva é importante: um analista pode receber apenas um instalador comum em uma tentativa, enquanto outro usuário, em condições diferentes, recebe uma carga maliciosa.

Fluxo técnico

Os sites de entrada imitam projetos open source e freeware, com destaque para uma parcela que usa nomes associados a ferramentas de engenharia reversa e análise de malware, como Ghidra e dnSpy. Esse recorte é sensível porque esses nomes atraem usuários técnicos, pesquisadores e analistas que normalmente lidam com binários e ambientes de laboratório. A página pode exibir um link aparentemente legítimo e preservar sinais visuais que reduzem suspeita, como a barra de status do navegador mostrando um destino coerente ao passar o mouse sobre o botão de download.

O comportamento muda quando ocorre a primeira interação elegível. Scripts hospedados em Amazon CloudFront carregam configuração de campanha e aplicam lógica no navegador para capturar o clique. Em Firefox desktop, o fluxo observado usa manipulador de click em fase de captura; em Chrome desktop, o evento primário observado é mousedown. O código registra o destino pretendido, gera uma URL de execução do TDS, aciona métodos de abertura ou navegação aceitos pelo navegador e cancela a navegação original com chamadas como preventDefault() e stopImmediatePropagation(). O resultado prático é que o usuário acredita ter aberto o destino legítimo, mas a sessão foi entregue a outra rota.

A cadeia posterior passa por redirecionadores e gates. Um domínio de pós-clique é fornecido dinamicamente na configuração decodificada entregue pelos scripts, em vez de ficar gravado de forma simples na página. Em vários testes, o redirecionamento levou a software benigno, como navegador Opera, ou a extensões desnecessárias. Em outros caminhos, a sessão seguiu para entrega de malware. O domínio file-enter-web[.]com aparece como ponto de ramificação após uma etapa de filtragem antibot; dali, algumas sessões seguem para gates de download com arquivos hospedados em domínios como media.stellarcloudhub1[.]cfd e arch2.maxdatahost1[.]cyou, enquanto outras fazem ponte para plataformas externas, incluindo caminhos terminando em mega[.]nz.

SessionGate se destaca pelo desenho de validação e pela resistência à análise. A entrega gera uma URL curta e única por sessão, vinculada ao navegador e ao endereço IP do cliente. Antes de permitir acesso ao executável, uma página HTML com JavaScript ofuscado realiza validação server-side por meio de javascriptapiusa[.]com/lic?. A amostra usa nome relacionado ao software esperado, mas troca a extensão para .exe. O carregador contém um arquivo 7-Zip embutido e pode exibir uma experiência de instalador benigno quando a cadeia controlada não avança, criando uma armadilha para sandboxes e análises automatizadas.

Superfície afetada

A superfície exposta inclui estáções de trabalho que baixam instaladores a partir de resultados de busca, principalmente quando o usuário confia no primeiro resultado ou em portais com aparência de projeto oficial. O risco cresce em ambientes onde ferramentas de análise, engenharia reversa, utilitários gratuitos e softwares open source são baixados diretamente da web sem validação de domínio, assinatura, hash conhecido ou origem do repositório. A presença de links reais para GitHub ou páginas de projeto não elimina o risco, porque a navegação efetiva pode ser alterada no momento do clique.

A campanha também amplia a superfície de defesa porque usa infraestrutura legítima como CDN para distribuir scripts de roteamento. O uso de Amazon CloudFront não é, por si só, malicioso, mas dificulta bloqueios grosseiros baseados apenas em provedor. O fator observável é a combinação de portais não oficiais, identificadores de campanha reutilizados, scripts TDS, manipulação de clique e redirecionamentos condicionais. A telemetria pública apontou mais de 5.000 submissões relacionadas a amostras relevantes, com visibilidade expressiva para SessionGate em países como Turquia, Polônia, Brasil, Alemanha, França, Rússia e Reino Unido.

O recorte envolvendo ferramentas de segurança não comprova direcionamento contra pesquisadores. O objetivo mais provável da infraestrutura é aquisição e monetização de tráfego, com consumidores downstream capazes de comprar ou receber sessões qualificadas. Ainda assim, para equipes de segurança, o efeito operacional é semelhante ao de um watering hole oportunista: usuários com perfil técnico podem ser atraídos por páginas que imitam ferramentas confiáveis e receber artefatos diferentes conforme o gate decide liberar ou negar a carga.

Estáções que baixaram instaladores de portais não oficiais encontrados em buscadores.
Usuários que procuraram ferramentas open source, freeware ou utilitários de engenharia reversa fora de domínios oficiais.
Ambientes em que extensões de navegador e instaladores são permitidos sem reputação, assinatura ou controle de origem.
Sessões em que o primeiro clique de download acionou redirecionamentos, mas tentativas posteriores pareceram benignas por causa de limite de frequência.

Hunting e telemetria

A investigação deve começar pela telemetria de navegação, DNS, proxy e endpoint, buscando discrepâncias entre o link exibido ao usuário e o destino efetivamente acessado após o primeiro clique. Um padrão relevante é a visita a um portal de download não oficial seguida por requisições a CloudFront com scripts de campanha, redirecionadores de pós-clique e gates que variam conforme navegador ou país. Como a lógica usa estado no navegador, acessos repetidos podem não reproduzir o mesmo comportamento; por isso, logs históricos do primeiro acesso são mais valiosos do que tentativas manuais posteriores.

No endpoint, a cadeia pode aparecer como download de arquivo compactado ou executável com nome alinhado ao software procurado. No caso de SessionGate, um sinal técnico é a diferença entre o tamanho do arquivo baixado e o conteúdo aparente do arquivo embutido: foi observado um arquivo de aproximadamente 20 MB contendo componente de cerca de 15 MB, com o restante ocupado por código de carregador fortemente ofuscado. A análise estática pode falhar ou ficar degradada por funções inchadas, código inútil injetado, predicados opacos e criptografia de strings; portanto, o hunting não deve depender apenas de descompilação bem-sucedida.

A comunicação de SessionGate também exige atenção a fluxos de validação e entrega únicos por sessão. A hipótese operacional observada é que um serviço backend registra o endereço IP da vítima e exige que a sessão percorra toda a cadeia de redirecionamento. Depois disso, o payload parece ser gerado por cliente e preparado para execução única, com módulos internos criptografados e material de chave derivado de dados liberados pelo C2 apenas para aquela amostra. Em resposta, defensores devem preservar tráfego, metadados de TLS, cadeia de URLs defangada, arquivo baixado, árvore de processos e eventos de criação de arquivos antes que o ambiente perca a condição original da sessão.

Requisições a scripts TDS hospedados em CloudFront imediatamente antes de downloads iniciados por portais de software.
Uso de localStorage ou estado de navegador associado a limite de frequência em páginas de download suspeitas.
Eventos em que o destino visível do link não corresponde ao domínio acessado após click ou mousedown.
Acesso a file-enter-web[.]com, media.stellarcloudhub1[.]cfd, arch2.maxdatahost1[.]cyou ou javascriptapiusa[.]com em sequência de download.
Executáveis com nome semelhante ao software desejado, presença de arquivo 7-Zip embutido e diferença relevante entre tamanho total do artefato e conteúdo aparente.
Falhas anormais de ferramentas de análise estática, funções muito grandes e sinais de ofuscação intensa em carregadores recém-baixados.

Mitigação

A resposta deve reduzir a confiança em downloads obtidos por busca orgânica quando não houver validação de origem. Para softwares abertos e ferramentas de segurança, o caminho preferencial é usar domínios oficiais conhecidos, repositórios verificados, gerenciadores de pacote internos e artefatos com assinatura ou hash conferido por fonte confiável. Em ambientes corporativos, proxies e EDR devem registrar a cadeia completa de redirecionamento, não apenas o domínio final, porque a decisão maliciosa pode ocorrer em um gate intermediário e desaparecer em nova tentativa.

A contenção de endpoints suspeitos deve preservar evidências antes de limpeza agressiva. Quando houver download de instalador a partir de portal não oficial, é recomendável isolar a máquina, coletar histórico de navegador, cache relevante, logs de proxy, artefatos baixados, processos filhos e conexões de rede associadas. Para SessionGate, a análise deve considerar que a amostra pode depender de chave obtida uma única vez do servidor; executar novamente o mesmo arquivo em outro ambiente pode não reproduzir a cadeia. Esse comportamento torna mais importante capturar tráfego durante a primeira execução observada e correlacionar com os gates visitados.

No controle preventivo, bloqueios devem ser específicos o suficiente para não tratar CDN legítima como maliciosa de forma ampla. A defesa deve priorizar reputação de domínios de entrada, detecção de padrões de click hijacking, comparação entre destino exibido e destino real, e regras para instaladores vindos de portais recém-criados ou não oficiais. Navegadores corporativos podem se beneficiar de políticas que restrinjam extensões não aprovadas, alertas para downloads executáveis iniciados por redirecionamentos múltiplos e inspeção de eventos em que uma página cancela a navegação original do usuário para abrir uma rota diferente.

Inventariar downloads recentes de Ghidra, dnSpy e outros utilitários obtidos fora de domínios oficiais ou repositórios verificados.
Bloquear ou monitorar os domínios defangados observados e procurar cadeias semelhantes em logs de DNS, proxy e EDR.
Exigir assinatura, hash validado ou distribuição interna para instaladores de ferramentas usadas por equipes técnicas.
Coletar histórico de primeira execução, tráfego e artefatos antes de reexecutar amostras em laboratório.
Revisar políticas de navegador para impedir extensões não aprovadas e registrar redirecionamentos acionados por interações de usuário.
Tratar instaladores que exibem interface benigna após cadeia suspeita como evidência inconclusiva, não como prova de ausência de malware.

Sites falsos de ferramentas abertas distribuem malware por roteamento de cliques

Postar um comentário

0 Comentários

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Plantão de ameaças

Receba alertas

Comunidade

Assuntos

Menu Footer Widget

Contato

Sites falsos de ferramentas abertas distribuem malware por roteamento de cliques

Talvez você goste destas postagens

Postar um comentário

0 Comentários

Siga o Cyber Guardian News

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Plantão de ameaças

Receba alertas

Briefing global de ameaças

Comunidade

Assuntos

Menu Footer Widget

Contato