Campanha ranqueada em buscas do Google imita projetos como Ghidra, dnSpy e SpiderFoot para redirecionar downloads por uma cadeia com validação, anti-análise e entrega seletiva de Remus Stealer, AnimateClipper e SessionGate.
| Componente | Portais falsos que imitam ferramentas open-source e freeware, camada JavaScript hospedada em CloudFront, Traffic Distribution System e payloads Remus Stealer, AnimateClipper e SessionGate. |
| Vetor | Usuários chegam pelos resultados de busca, interagem com botões de download em páginas visualmente semelhantes às legítimas e têm o clique redirecionado para uma cadeia TDS com validação de primeira visita, confirmação de clique, filtragem de VPN/datacenter e limitação por frequência. |
| Impacto | A cadeia pode entregar malware seletivamente; Remus Stealer visa dados de navegadores, extensões, carteiras de criptomoedas, ferramentas de autenticação de dois fatores e gerenciadores de senha, enquanto AnimateClipper altera endereços de carteira copiados para a área de transferência e SessionGate atua como carregador em múltiplos estágios. |
| Prioridade | Tratar downloads de ferramentas técnicas obtidos por busca como superfície de risco, validar origem oficial antes da execução, revisar telemetria de proxy/DNS/endpoint associada a redirecionamentos de download e conter hosts que tenham executado instaladores obtidos por portais clonados. |
| Artefatos | A operação menciona clones de Ghidra, dnSpy e SpiderFoot, uso de JavaScript intermediário em CloudFront, entrega final por DLL no fluxo SessionGate e execução silenciosa do próximo estágio por meio de comando operacional omitido. |
| Telemetria | A família SessionGate aparece em aproximadamente 2.000 a 3.500 submissões no VirusTotal, com maior presença observada a partir de Turquia, Polônia, Brasil, Alemanha, França, Rússia e Reino Unido. |
Uma operação de distribuição de malware está usando páginas falsas que reproduzem a aparência de portais de ferramentas open-source e freeware para transformar tráfego de busca em cadeias de entrega seletiva. A atividade mira usuários que procuram utilitários técnicos conhecidos em mecanismos como o Google, inclusive ferramentas associadas a engenharia reversa e segurança, como Ghidra, dnSpy e SpiderFoot. O risco principal não está apenas no conteúdo visível da página, mas na lógica acionada quando o usuário tenta baixar o suposto software. A página preserva sinais de legitimidade, incluindo referências a recursos reais do projeto, enquanto intercepta a interação de download e encaminha o visitante para uma infraestrutura intermediária.
A campanha é descrita como uma operação de grande escala com uso de Traffic Distribution System para decidir quem recebe conteúdo benigno e quem avança até infraestrutura de malware. O modelo combina aquisição de tráfego, ranqueamento em buscas e monetização cinzenta com a possibilidade de encaminhar usuários reais para payloads maliciosos. A atividade já tinha sinais desde setembro de 2025, com uma fase inicial focada em visibilidade e conteúdo para ranqueamento. A distribuição de malware pela infraestrutura TDS teria começado em janeiro de 2026, quando scripts de redirecionamento passaram a ser incorporados às páginas clonadas.
O fluxo começa quando a vítima acessa um portal falso que se apresenta como página de download de uma ferramenta legítima. A construção visual tenta reduzir suspeitas: o site aparenta ser um portal de projeto, o botão de download pode exibir um endereço legítimo ao passar o cursor e parte da página referencia recursos reais do ecossistema original. Esse detalhe é relevante para defesa porque uma validação superficial por aparência ou por link mostrado na interface pode não revelar a interceptação aplicada ao clique. A ação do usuário é processada por uma camada JavaScript hospedada em CloudFront, que converte o clique no botão ou link em um repasse para o TDS.
O TDS aplica controles para filtrar tráfego antes da entrega. Entre as condições descritas estão estado de primeira visita, exigência de confirmação por clique, lógica anti-bot e anti-análise, filtragem de conexões associadas a VPNs ou datacenters e limitação por frequência. Esse conjunto dificulta a reprodução em laboratório porque novas tentativas a partir do mesmo endereço IP podem receber software benigno, como o navegador Opera, ou extensões desnecessárias, em vez do payload malicioso. Para analistas, isso significa que a ausência de malware em uma única navegação repetida não elimina o risco da página, pois a decisão de entrega depende do estado e do perfil calculado pela infraestrutura.
Entre os payloads observados estão SessionGate, Remus Stealer e AnimateClipper. SessionGate é descrito como um carregador antes desconhecido, ofuscado e composto por múltiplos estágios, também associado à entrega de aplicações potencialmente indesejadas. A cadeia busca resistir a sandboxes ao alternar para uma experiência de instalador benigno quando as validações indicam ambiente de análise. No estágio final, uma DLL se comunica com servidor externo, obtém uma configuração criptografada, extrai dela a URL de download e inicia silenciosamente o próximo malware usando comando operacional omitido. O comando operacional não é necessário para defesa e deve ser tratado como artefato omitido.
A superfície exposta inclui estáções de trabalho de usuários que buscam ferramentas técnicas por mecanismos de pesquisa em vez de acessar repositórios e domínios oficiais previamente conhecidos. O risco é maior em ambientes onde profissionais de TI, segurança, desenvolvimento ou análise baixam utilitários de forma autônoma, sem catálogo interno, verificação de origem, controle de reputação de domínio ou processo de aprovação. Como os clones exploram nomes e marcas populares, a campanha aproveita a confiança acumulada pelos projetos legítimos e a transforma em isca de download.
Os componentes defensivos mais importantes nessa superfície são proxy web, DNS, EDR, inventário de software e controle de execução. A cadeia depende de navegação para páginas clonadas, execução de scripts intermediários, redirecionamentos para TDS e, em casos selecionados, download e execução local de artefatos. Remus Stealer amplia o impacto para dados de navegadores, extensões, carteiras de criptomoedas, ferramentas de autenticação de dois fatores e gerenciadores de senha. AnimateClipper desloca o foco para transações em criptomoedas ao substituir endereços copiados na área de transferência em mais de 20 ecossistemas blockchain. SessionGate funciona como carregador e pode atuar como ponte entre o instalador inicial e outros estágios.
- Usuários que pesquisam e baixam ferramentas como Ghidra, dnSpy e SpiderFoot por resultados de busca patrocinados ou orgânicos sem validação adicional.
- Endpoints que permitem execução de instaladores baixados da web sem reputação, assinatura verificada ou aprovação por catálogo interno.
- Ambientes em que navegadores, extensões, carteiras, ferramentas de autenticação e gerenciadores de senha coexistem no mesmo perfil de usuário.
- Controles de rede que não correlacionam página de origem, redirecionamentos em sequência, CDN intermediária e download final.
A investigação deve reconstruir a jornada de download em vez de analisar somente o arquivo final. Em logs de proxy e DNS, procure acessos a domínios recém-observados que imitam nomes de projetos open-source ou freeware, principalmente quando aparecem antes de redirecionamentos múltiplos e de downloads executáveis. A presença de CloudFront no caminho não é indicativo malicioso por si só, mas ganha peso quando associada a uma página clonada, clique de download e mudança rápida para domínios de distribuição. Como o TDS pode entregar conteúdo benigno em visitas repetidas, a primeira navegação do usuário e o encadeamento temporal dos eventos são mais úteis do que tentativas posteriores de reprodução.
No endpoint, o foco deve estar em processos iniciados a partir do navegador, criação de arquivos em diretórios de download ou temporários, carregamento de DLLs recém-criadas e execução silenciosa de próximo estágio por comando operacional omitido. Para Remus Stealer, a defesa deve correlacionar acesso anormal a dados de perfis de navegador, extensões e aplicações sensíveis. Para AnimateClipper, sinais relevantes incluem processos monitorando área de transferência e substituições de endereços de carteira durante uso legítimo do sistema. Para SessionGate, a combinação de instalador inicial, estágio ofuscado, comunicação externa para configuração criptografada e download subsequente ajuda a diferenciar a atividade de instalações benignas.
- Sequências de navegação com página clonada de ferramenta, clique de download, redirecionamentos TDS e arquivo baixado em curto intervalo.
- Execução de instalador ou DLL originada de diretório de usuário logo após visita a portal não oficial de software técnico.
- Uso de comando operacional omitido como processo intermediário para iniciar próximo estágio após download automatizado.
- Acesso anômalo a perfis de navegadores, extensões, carteiras de criptomoedas, ferramentas de autenticação e gerenciadores de senha.
- Alterações inesperadas em conteúdo copiado para a área de transferência durante operações envolvendo endereços de carteira.
A resposta deve começar por conter endpoints que tenham baixado ou executado instaladores a partir de portais clonados. O isolamento evita que carregadores em múltiplos estágios completem novas comunicações externas ou recuperem configurações criptografadas. Em seguida, revise histórico de navegação, logs de proxy, DNS, EDR e arquivos baixados para reconstruir se o host recebeu apenas software benigno ou se percorreu a cadeia até payloads como SessionGate, Remus Stealer ou AnimateClipper. Como a infraestrutura aplica limitação por frequência e lógica anti-análise, não dependa de uma nova visita ao mesmo endereço para concluir que a campanha é inofensiva.
A prevenção deve mover downloads de ferramentas técnicas para canais controlados. Catálogos internos, allowlists de domínios oficiais, validação de assinatura, verificação de hash quando fornecida pelo projeto legítimo e bloqueio de execução para artefatos baixados de locais não aprovados reduzem a chance de instalação a partir de clones bem posicionados em busca. Para ambientes de segurança e engenharia, onde ferramentas como Ghidra, dnSpy e SpiderFoot podem ser legítimas, a política precisa distinguir o projeto real do portal imitador e registrar a origem do download. Após confirmação de execução de stealer ou clipper, trate navegadores, extensões, carteiras, autenticação de dois fatores e gerenciadores de senha como ativos potencialmente expostos, com rotação de credenciais e revisão de sessões conforme o escopo observado.
- Bloquear ou submeter a análise domínios que imitam projetos open-source e freeware usados pela organização.
- Exigir obtenção de ferramentas técnicas por repositórios oficiais, catálogo corporativo ou links previamente validados.
- Correlacionar proxy, DNS e EDR para identificar o primeiro acesso, o clique de download e o artefato executado.
- Isolar hosts com execução de DLL ou instalador associado ao fluxo e coletar evidências antes de limpeza completa.
- Revisar credenciais, sessões, extensões, carteiras e gerenciadores de senha quando houver indício de
Remus Stealerou comportamento compatível com clipper. - Registrar exceções legítimas para ferramentas de engenharia reversa e segurança, evitando que usuários recorram a resultados de busca não verificados.
0 Comentários