Fałszywe strony open source wysoko w Google rozprowadzają malware przez TDS

Wprowadzenie do problemu / definicja

Badacze bezpieczeństwa opisali kampanię, w której fałszywe strony podszywające się pod popularne projekty open source i darmowe narzędzia przechwytują ruch z wyszukiwarek, a następnie kierują część użytkowników do złośliwych ładunków. Kluczową rolę odgrywa tu Traffic Distribution System (TDS), czyli mechanizm pośredniczący, który ocenia ruch, filtruje ofiary i decyduje, czy użytkownik otrzyma legalnie wyglądający plik, czy malware.

Zagrożenie jest szczególnie niebezpieczne, ponieważ wykorzystuje zaufanie do znanych marek oraz wysoką pozycję w wynikach Google. W praktyce oznacza to, że sam fakt znalezienia narzędzia w wyszukiwarce nie może być traktowany jako potwierdzenie jego autentyczności.

W skrócie

• Atakujący tworzą profesjonalnie wyglądające strony imitujące znane narzędzia open source i freeware.
• Fałszywe witryny osiągają wysokie pozycje w Google i przechwytują ruch od osób szukających legalnego oprogramowania.
• Po kliknięciu przycisku pobierania uruchamiany jest łańcuch przekierowań oparty na TDS.
• Końcowym efektem może być dostarczenie malware, takiego jak Remus Stealer, AnimateClipper czy framework SessionGate.
• Infrastruktura kampanii działa od co najmniej września 2025 r., a aktywna dystrybucja malware została zaobserwowana od stycznia 2026 r.

Kontekst / historia

Model działania opiera się na połączeniu nadużycia zaufania do rozpoznawalnych projektów open source z manipulowaniem widocznością w wyszukiwarkach. Operatorzy kampanii przygotowują strony łudząco podobne do oficjalnych serwisów, wykorzystując ich nazwy, identyfikację wizualną i ogólny układ treści. Dzięki temu użytkownik ma wrażenie, że trafił na autentyczne źródło pobrania.

Wcześniejsze obserwacje podobnych operacji wskazywały głównie na przejmowanie ruchu i jego monetyzację. Najnowsze ustalenia pokazują jednak wyraźną zmianę: przechwycony ruch zaczął służyć także jako kanał dostarczania złośliwego oprogramowania. To istotna ewolucja, bo wynik wyszukiwania staje się pierwszym etapem pełnego łańcucha infekcji.

Szczególnie groźne jest to, że celem są osoby poszukujące specjalistycznych narzędzi technicznych, w tym administratorzy, analitycy bezpieczeństwa, badacze i deweloperzy. W takich przypadkach kompromitacja jednej stacji roboczej może mieć dużo szersze skutki niż infekcja zwykłego komputera użytkownika końcowego.

Analiza techniczna

Atak zaczyna się od wejścia na fałszywą stronę imitującą portal legalnego projektu. Tego typu serwisy są przygotowane starannie i często zawierają elementy, które na pierwszy rzut oka zwiększają ich wiarygodność. Użytkownik może nawet zobaczyć poprawnie wyglądający adres po najechaniu kursorem na przycisk pobierania, co dodatkowo usypia czujność.

W rzeczywistości kliknięcie nie prowadzi bezpośrednio do legalnego pliku. Strona uruchamia warstwę JavaScript osadzoną w infrastrukturze pośredniej, która przekazuje użytkownika do TDS. Ten system pełni funkcję selektora i bramki bezpieczeństwa dla operatorów kampanii.

TDS może realizować kilka zadań jednocześnie:

• sprawdzać, czy użytkownik odwiedza stronę po raz pierwszy,
• wymuszać określony schemat interakcji przed pobraniem,
• stosować mechanizmy anti-bot i anti-analysis,
• filtrować adresy IP powiązane z VPN-ami oraz centrami danych,
• ograniczać częstotliwość dostępu, aby utrudnić analizę kampanii.

To oznacza, że analityk bezpieczeństwa, sandbox i realna ofiara niekoniecznie zobaczą ten sam rezultat. Kolejne wejścia z tego samego adresu IP mogą prowadzić do pobrania nieszkodliwego pliku lub innej przynęty zamiast właściwego malware. Taka selektywność znacząco utrudnia wykrywanie oraz odtwarzanie pełnego przebiegu incydentu.

Jednym z opisanych elementów kampanii jest SessionGate, czyli wieloetapowy loader wyposażony w mechanizmy zaciemniania i utrudniania analizy. Jego zadaniem jest przeprowadzenie ofiary przez łańcuch przekierowań, pobranie odpowiedniego ładunku i uruchomienie kolejnego etapu w sposób możliwie cichy. Końcowy komponent DLL komunikuje się z infrastrukturą zewnętrzną, pobiera zaszyfrowaną konfigurację i inicjuje dalsze złośliwe działania.

W kampanii zaobserwowano również Remus Stealer, sprzedawany w modelu malware-as-a-service. Zagrożenie to jest ukierunkowane na kradzież danych z wielu przeglądarek, rozszerzeń, portfeli kryptowalutowych, narzędzi 2FA i menedżerów haseł. Drugim ważnym ładunkiem jest AnimateClipper, który podmienia adresy portfeli kopiowane do schowka, umożliwiając przejęcie środków podczas transakcji kryptowalutowych. W niektórych przypadkach jego dostarczenie odbywa się przy użyciu przynęty typu ClickFix.

Konsekwencje / ryzyko

Ryzyko związane z tą kampanią jest wysokie, ponieważ wektor początkowy wydaje się wiarygodny. Użytkownik sam szuka znanego narzędzia i trafia na wynik, który wygląda profesjonalnie oraz zajmuje wysoką pozycję w Google. Taki scenariusz znacząco zwiększa prawdopodobieństwo pobrania złośliwego pliku bez dodatkowych podejrzeń.

Z perspektywy organizacji skutki mogą obejmować:

• kradzież poświadczeń zapisanych w przeglądarkach i aplikacjach,
• przejęcie portfeli kryptowalutowych i utratę środków,
• kompromitację stacji roboczych używanych przez zespoły techniczne,
• wtórne infekcje poprzez kolejne etapy łańcucha malware,
• trudności w analizie incydentu z powodu selektywnego dostarczania ładunków.

Szczególnie niepokojące jest ukierunkowanie na osoby pobierające narzędzia związane z bezpieczeństwem, analizą i administracją. W takim środowisku pojedyncza infekcja może prowadzić do wycieku tokenów sesyjnych, dostępów uprzywilejowanych, sekretów deweloperskich oraz danych związanych z infrastrukturą firmy.

Rekomendacje

Podstawową zasadą powinno być ograniczenie pobierania oprogramowania do zatwierdzonych repozytoriów, oficjalnych stron producentów oraz wewnętrznych katalogów aplikacji. Organizacje nie powinny polegać wyłącznie na pozycji strony w wyszukiwarce, zwłaszcza przy pobieraniu narzędzi administracyjnych, developerskich i security.

W praktyce warto wdrożyć następujące środki ochronne:

• stosowanie allowlist domen do pobierania oprogramowania,
• weryfikację sum kontrolnych, podpisów cyfrowych i integralności plików,
• testowanie nowo pobranego oprogramowania w środowiskach izolowanych,
• monitorowanie ruchu HTTP i HTTPS pod kątem nietypowych przekierowań oraz działania TDS,
• blokowanie uruchamiania nieznanych loaderów i bibliotek DLL z katalogów tymczasowych,
• wzmocnienie ochrony przeglądarek oraz rozszerzeń będących częstym celem stealerów,
• wdrożenie EDR lub XDR pod kątem wykrywania wieloetapowych łańcuchów uruchomień,
• regularne szkolenia użytkowników dotyczące fałszywych stron pobierania.

Zespoły SOC i threat hunting powinny dodatkowo zwracać uwagę na objawy charakterystyczne dla tego typu kampanii, takie jak warunkowe przekierowania, różne odpowiedzi serwera zależne od reputacji IP, obecność zaciemnionych skryptów stagingowych oraz nietypowe uruchamianie kolejnych etapów przez interpretery poleceń.

Podsumowanie

Opisana kampania pokazuje, że granica między oszustwem SEO a pełnym łańcuchem malware coraz bardziej się zaciera. Atakujący skutecznie łączą przejmowanie ruchu z wyszukiwarek, zaawansowane filtrowanie ofiar i selektywne dostarczanie złośliwego oprogramowania. Podszywanie się pod popularne projekty open source zwiększa skuteczność operacji, ponieważ wykorzystuje naturalne zaufanie użytkowników do znanych narzędzi technicznych.

Z perspektywy obrony kluczowe znaczenie ma dziś nie tylko wykrywanie samego malware, ale również kontrola źródeł pobieranego oprogramowania, analiza przekierowań poprzedzających pobranie oraz ograniczanie ryzyka związanego z wyszukiwaniem narzędzi przez ogólnodostępne wyszukiwarki.

Źródła

• Fake Sites Mimicking Open-Source Tools Rank High on Google to Deliver Malware via TDS
• Research by Check Point on fake download sites and TDS-enabled malware delivery
• Fullstory analysis of domains targeting open-source software search traffic