大规模活动冒充 Ghidra、dnSpy 和 SpiderFoot 等开源/免费软件项目来捕获搜索流量并劫持软件下载点击。哇塔。
研究人员表示,该假冒网站使用 CloudFront 上的 JavaScript 来拦截访问者的首次交互,并将用户发送到门控流量分配系统 (TDS)。 TDS 在决定传送内容之前执行机器人检测、VPN/数据中心过滤、点击验证和传送频率限制。
该基础设施似乎主要是为了流量获取和货币化而构建的,但一些选定的受害者被发送到恶意软件分发链。该链包括 SessionGate、RemusStealer 和 AnimateClipper,分别用于分发 PUA、infostealer 和 crypto Clipper。
该操作至少自 2025 年底以来一直活跃,自 2026 年初以来观察到活跃分布,已向 VirusTotal 提交了 5,000 多份相关样本提交。
从: 
假冒开源下载网站将受害者引入 TDS 和恶意软件 |马洛里
【编辑部评论】
此事件最具代表性的方面是攻击者选择其目标“品牌”的方式。伪装的 Ghidra 和 dnSpy 最初是安全研究人员和逆向工程师分析恶意软件所使用的工具。 Check Point 发现该活动的一个显着特征是伪装成可信的逆向工程工具。防守者的工具箱被用作陷阱的入口。
该机制的核心在于“点击劫持”。将鼠标悬停在假网站上的“下载”按钮上将显示真实的 GitHub URL,让您安心。但是,当用户实际单击时,页面中嵌入的 CloudFront 上的脚本会拦截该操作并将用户传递给 TDS。它将正确的外观与点击后的行为分开的方式很聪明。
这里的关键是TDS(流量分配系统),它原本是广告行业使用的一种正式技术,用于根据条件分配访客。这一次,它被利用并充当筛查访客的“检查站”。
筛选非常准确,来自同一 IP 地址的重复访问会传播无害软件,例如 Opera 浏览器和不需要的扩展程序。它的设计目的是为了避免分析师的注意,只向一些被判断为具有高价值的用户提供所需的产品。
我们还可以检查一下分发的恶意软件的阵容。 Remus Stealer 是一种 MaaS(恶意软件即服务)信息窃取程序,可从 20 多个浏览器、加密钱包、双因素身份验证工具和密码管理软件中窃取数据。这似乎是 Lumma Stealer 的衍生品。
AnimateClipper 是另一个直接触及加密资产的“剪辑器”。它重写复制到剪贴板的汇款地址,并劫持 20 多个区块链上的交易。即使用户认为钱已发送到正确的目的地,资金最终也会落入攻击者的口袋。
我们也来整理一下时间线吧。最迟自 2025 年末以来,这些虚假网站就已被观察到,窃取点击的 TDS 脚本已于 2025 年 12 月安装完毕。使用此基础设施的主动恶意软件分发于 2026 年 1 月上旬开始。我们可以看到一个流程,先建立盈利目的的基础,然后再转向攻击目的。
让我们检查一下这里的数字。 Mallory 的摘要将 VirusTotal 的提交数量列为“超过 5000 个”,但这是所有相关样本的提交数量,并且是一个表明整个生态系统规模的数字。另一方面,据《黑客新闻》报道,根据 Check Point 的报告,“迄今为止已提交了大约 2,000 至 3,500 个与 SessionGate 相关的样本”,而这个数字主要针对特定的恶意软件。即使案例数量相同,但目标不同,因此区分它们很重要,以免读者误解量表。
受影响的地区也存在差异。大多数提交的材料来自土耳其、波兰、巴西、德国、法国、俄罗斯和英国。事实上,日本并不是提交最多的来源之一,这暂时让人松了一口气,但由于诀窍是通过搜索,所以不能说火在另一边。
这个案例的本质是我们多年来相信的“安全标志”已经崩溃。我想是的。创建了 100 多个虚假网站,其中一些或许多网站在搜索结果中排名较高,在某些情况下甚至优于真实网站。 “我感到安全,因为它位于谷歌搜索结果的顶部,而且看起来就像官方网站”的直觉不再是决定因素。
从不同角度看,这也可以解读为“流通管道分工”进展的一个例子。 Check Point 研究人员表示,虽然此操作的主要目的是获取流量并将其货币化,但包含门控 TDS 使运营商本身成为下游恶意软件分发者的分发链的一部分。广告收入的灰色系统和明确的犯罪有着相同的渠道。
至于长期影响,我想看两个方向。一是监管和搜索基础设施的责任,问题是搜索引擎和CDN运营商能够多快停止滥用行为。另一个因素是软件分发本身的文化,对于开发者来说,明确指出官方获取路线并为用户创建直接到达那里的路径将变得比以往任何时候都更加重要。
矛盾的是,支持便利的技术更有可能让信任被利用。在这里。为了推动技术的发展,我们似乎有必要继续发展查看谁信任该技术的能力。
【术语解释】
TDS(流量分配系统)
根据访客情况分配转发目的地的系统。这原本是用于广告分发的合法技术,但这次却被误用为筛选受害者的“检查站”。
PUA(可能不需要的应用程序)
尽管很难明确地将其识别为恶意软件,但它指的是未经用户同意运行或引入不必要的广告或工具栏的有害软件。
MaaS(恶意软件即服务)
一种犯罪业务形式,开发人员将恶意软件作为服务出租给第三方。即使技术水平较低的攻击者也可以进行复杂的攻击。
会话门
新确认的多阶段加载器(恶意软件分发框架)。具有强大的反分析功能,主要分发PUA。它的独特之处在于它为每个受害者的会话生成唯一的有效负载并检测分析环境和沙箱。
雷姆斯偷盗者(Remus Stealer)
新兴的信息窃取者以 MaaS 的形式提供。它从 20 多个浏览器、加密钱包、双因素身份验证工具和密码管理软件中窃取信息,并被认为是 Lumma Stealer 的变种。
动画剪辑器
Clipper瞄准的是加密资产。重写剪贴板上的钱包地址并劫持 20 多个区块链上的交易。
鲁玛偷窃者
一种典型的信息窃取恶意软件,已作为 MaaS 广泛提供。被盗数据已在黑市上出售。 RemusStealer 被认为是该谱系的衍生品。
[参考链接]
吉德拉(官方网站)(外部)
由 NSA 开发的免费开源逆向工程框架。这次伪装的主要工具。
dnSpy(原始存储库)(外部)
.NET 调试器和程序集编辑器。原始存储库于 2020 年 12 月成为档案。
dnSpyEx(后继存储库)(外部)
dnSpy 事实上的后续项目,由志愿者在原始存档之后继续进行。目前正在更新中。
SpiderFoot(官方存储库)(外部)
OSINT(公共信息调查)自动化工具,自动收集IP、域名、电子邮件地址等。
检查点研究(外部)
Check Point 的研究部门博客发布了这一主要信息。整个方案很详细。
病毒总数(外部)
Google 拥有的一项服务,允许您同时使用多个安全产品检查文件和 URL。
(外部)
亚马逊网络服务 CDN。这次它被用来托管恶意脚本。
歌剧(官方网站)(外部)
案例中提到的一种网络浏览器被作为“无害软件”分发以逃避分析。
[参考文章]
模仿开源工具的虚假网站在 Google 上排名靠前,通过 TDS 传播恶意软件(黑客新闻)(外部)
提交了大约 2,000 至 3,500 个 SessionGate 相关样本,并标明了提交国家/地区和目标范围。
大规模黑客活动使用欺骗性的 Ghidra、dnSpy 和 SpiderFoot 安全工具……(TechRadar)(外部)
一篇解释性文章,解释了 100 多个虚假网站是如何创建的以及每个恶意软件的作用。
假冒、点击劫持和 TDS:恶意软件分发生态系统内部(Check Point Research)(外部)
有关此案的主要信息。从点击劫持到TDS诱导的方法都有详细介绍。
黑客冒充 Ghidra、dnSpy 和 SpiderFoot 传播恶意软件(CyberPress)(外部)
VirusTotal 报告称,已收到 5,000 多份提交内容,表明该行动的规模。它还解释了如何创造虚假的安全感。
用于传播恶意软件的假 Ghidra、dnSpy 和 SpiderFoot 网站(GBHackers)(外部)
已确认 100 多个活动站点嵌入了相同的脚本。我们还将讨论入口域的示例。
[相关文章]
利用 TDS 的网络攻击:Trellix 和 Proofpoint 解释了检测的难度
直接涉及本文核心概念“TDS”的解释。非常适合研究了解为什么检测很困难。
利用 Google 协作平台的新方法 – 伪装成 Chrome 的恶意软件瞄准企业用户
这种方法与此非常相似,滥用合法服务的信任并在没有人注意到的情况下分发正版软件。
936 个假 Reddit 和 WeTransfer 网站正在运行,新恶意软件“Lumma Stealer”的威胁是什么?
Lumma 的问题、RemusStealer 的起源以及大量假冒网站都与此重叠。
警惕虚假安全网站传播的恶意软件以及声称为 Malwarebytes 的诈骗
这些都是常见的先例,其中信息被伪装成合法品牌的相似安装程序窃取。
[编者后记]
过去我们无意识地依赖的判断标准,例如“因为它在搜索结果中排名靠前”或“因为它看起来与官方产品一模一样”,现在已经成为弱点。我们每天还搜索工具和库。这就是为什么我觉得为官方存储库添加书签并暂停比较 URL 的习惯将有助于任何人明天开始。有自己的方式来检查便利性和安全性之间的平衡——这种小小的意识在未来的数字环境中可能会变得更加重要。