Когда пользователь ищет популярную программу, он почти всегда кликает по первой ссылке в выдаче, полагая, что это официальный ресурс. Если сайт выглядит профессионально, содержит ссылки на реальный репозиторий проекта и даже упоминает GitHub, доверие возникает автоматически. Однако именно на таком доверии построена крупная кампания, которую исследовала компания Check Point. Злоумышленники создали десятки сайтов-двойников, имитирующих страницы известных инструментов для разработки и анализа безопасности - в том числе Ghidra, dnSpy и SpiderFoot. При беглом взгляде их невозможно отличить от настоящих, а механизм обмана скрыт не в содержимом страницы, а в том, что происходит после нажатия на кнопку скачивания.
Описание
Исследователи выяснили, что поддельные сайты загружают скрипт на JavaScript, размещённый в облачном сервисе Amazon CloudFront. При клике по кнопке "Скачать" этот скрипт перехватывает действие и передаёт его на обработку системе распределения трафика - TDS (traffic distribution system). TDS выполняет строгую фильтрацию: проверяет, впервые ли пользователь на странице, требует подтверждения клика, анализирует подозрительные признаки (наличие VPN, работу в дата-центре, частоту запросов) и блокирует ботов. Только после прохождения всех этих гейтов происходит перенаправление на конечный ресурс.
Отчёт Check Point описывает более сотни активных поддельных доменов, среди которых ghidralite[.]com, dnspy[.]org, ilspy[.]org, а также сайты для утилит вроде CrystalDiskMark или Grpcurl. Масштаб кампании подтверждает телеметрия VirusTotal: свыше пяти тысяч отправок вредоносных образов только за период наблюдения, а реальный охват, вероятно, намного выше.
Сама система TDS не обязана распространять именно вредоносное ПО. Часто перенаправление ведёт на страницы с условно-бесплатными программами или рекламными предложениями, например, на установку браузера Opera. Однако исследователи зафиксировали несколько веток, которые вели к доставке вполне реальных зловредов. Среди них - ранее неизвестный многоступенчатый загрузчик SessionGate, информационный вор RemusStealer и криптовалютный клиппер AnimateClipper.
Главная техническая уловка поддельных сайтов - они не подменяют ссылку на GitHub в HTML-коде. Когда пользователь наводит курсор на кнопку, браузер показывает настоящий URL проекта. Но если человек всё же кликает, скрипт перехватывает событие, предотвращает стандартную навигацию и отправляет браузер на адрес, контролируемый TDS. При этом используются разные приёмы для разных браузеров, а логика маршрутизации зависит от того, были ли уже посещения с данного устройства. Из-за этого повторные попытки могут вести уже на легитимный GitHub, что затрудняет анализ.
Наиболее сложным оказался загрузчик SessionGate. Его цепочка доставки включает несколько этапов с сильными проверками окружения. Первый исполняемый файл содержит встроенный 7-Zip SFX-архив, который при обычном запуске ведёт себя как безобидный установщик. Однако если загрузчик получен не через полноценную цепочку TDS (то есть не прошёл все гейты), вредоносная часть не активируется. SessionGate проверяет запущенные антивирусные службы (по хешам их имён, а не в открытом виде), наличие средств захвата трафика (npcap), редакцию Windows и настройки защиты от потенциально нежелательных программ. Только при соблюдении всех условий происходит связь с сервером управления и контроля - C2.
Протокол взаимодействия с C2 также многоступенчатый. Загрузчик отправляет запрос с подписью на основе секретной соли, получает в ответ шестнадцатеричную строку, и если сумма её цифр чётная - выполнение прекращается. Затем второй этап загрузчика получает следующий модуль, который уже расшифровывает и запускает основную полезную нагрузку. Ключи для расшифровки генерируются на сервере индивидуально для каждой сессии, привязаны к IP-адресу жертвы и, вероятно, выдаются только один раз. Это делает анализ чрезвычайно трудным: аналитик, запустивший загрузчик вне оригинальной цепочки, получает либо пустой ответ, либо валидный на вид, но нерабочий ключ.
Конечная нагрузка SessionGate - это фреймворк для управляемой сервером установки программ. Он скачивает и запускает исполняемые файлы, замаскированные под полезные утилиты (например, PDF Spark, Document Sparkle). Хотя в проанализированных образцах не обнаружено кражи данных, сама возможность удалённого выполнения любых команд делает этот фреймворк опасным инструментом доставки вредоносного кода.
В другой ветке TDS пользователь получал ссылку на ZIP-архив с паролем. Внутри оказался исполняемый файл размером около 850 мегабайт - он был искусственно раздут нулями, чтобы обойти антивирусные сканеры и песочницы. После очистки пустышек выявлялся вор RemusStealer, написанный на Go. Этот инфостилер нацелен на кражу данных из более чем двадцати браузеров, а также из сотен расширений: криптокошельков, менеджеров паролей, приложений двухфакторной аутентификации. В перехваченном спике C2 содержалось 332 идентификатора расширений, из которых 220 относились к кошелькам, 77 - к менеджерам паролей. RemusStealer умеет выполнять поиск по файловой системе, снимать скриншоты, перехватывать буфер обмена и выполнять произвольные команды из реестра.
Третья ветка вела к клипперу AnimateClipper, который подменяет скопированные адреса криптокошельков на адреса злоумышленников. Интересная особенность: этот вредонос для получения адреса C2 обращается к смарт-контракту на тестовой сети BNB Smart Chain. В проанализированном образце контракт возвращал домен kr.hugo-lapp.co. Затем клиппер в реальном времени проверял буфер обмена и при обнаружении адреса более чем двадцати блокчейнов заменял его своим. Самый ранний входящий платёж на один из зашитых кошельков датирован июлем 2025 года, что указывает на долгосрочную активность.
Кампания напоминает: внешняя "официальность" сайта не гарантирует безопасности. Ссылки на GitHub в подделках настоящие, дизайн безупречный, но клик по кнопке скачивания может неожиданно перенаправить пользователя на вредоносный ресурс. Для специалистов по информационной безопасности это дополнительный сигнал проверять не только URL, но и то, куда ведёт каждый клик, особенно при скачивании инструментов для реверс-инжиниринга. А для обычных пользователей - правило "первая ссылка в Google" больше не работает, если речь идёт о загрузке программ.
Индикаторы компрометации
Domains
- appfreshstart.com
- appgetonline.com
- appmakingcenter.com
- carlessclapped.com
- cw.hugo-lapp.lat
- ed.hugo-lapp.lat
- fd.hugo-lapp.lat
- flame-guard.cc
- integritycrc.com
- io.hugo-lapp.lat
- kr.hugo-lapp.co
- mobileversioncrc.com
- st.hugo-lapp.lat
- td.hugo-lapp.lat
- webcrcprove.com
- webinnosetup.com
- yourfastcrc.com
URLs
- http://194.150.220.218/4SLEYpfAk57hGubo/fo0suc2ki2.rtf
- http://217.156.122.75:1378
- http://94.231.205.229:28313
- http://baxe.pics:48261
- http://buccstanor.pics:28313
- http://buccstanor.pics:48261
- http://forestoaker.com:6290
- http://gluckcreek.online:48261
- http://intem.lat:9592
- http://ropea.top:28313
- https://185.0xA1.0xFB.58/navy.7z
- https://cdn-1415.brightcanvas.digital/fo0suc2ki2.rtf
SHA256
- 15e6df0c95f2147952308e640d55270e9d097639eaebb34d4b352415f1c6bceb
- 26f2abfc254a59c2386dd46dca16744f7147a0f0366cb6008e1d53219175f44c
- 2e842eab0c16ddd1a2ec4a56610adb58d115b65a1e08e9b67e7e375f8eed0873
- 39dc2327fe1e5a56ac5ad9dc02f0386cff3d83dcfdc558cacba42ebb9dcc5ec2
- 3bb92771e287aa0a8bdd8e5b5bb697427223eaefded3d9b64b5d5c32ad40f3c2
- 4cdb1f7ac502289119f7f8256f00baaa994e6ecfb4000dcf5e1c46073508fcb3
- 598b023e56c45b19173e8f96c1c88036d732fec305cf6bf1b9cf4dbe304beb7f
- 74091f5a8746a1c68d73e1fc1e4e1ff514632ee3f632a8b306f35dabae2d2b64
- 87361ba2bb412dcf49f8738f3b8b9b7dccb557ad2e76ea8d98ffa5b098ae3886
- cbad672d9bd06ce91ce465d049e50696fbaec9d209ca0ab1fd814d993d04bc9b
- ce0888df5e28716432013a8ae002437bd3e993fbe8362c5ff9efbddabfe0ab77
- e6a1a428a7c09c9946f7c0179d89b263f442dc3208b5144a9146c200e4185bd6