Lažni sajtovi otvorenih alata zarobljavaju korisnike preko Google pretrage i isporučuju malvere
Bezbednosci stručnjaci otkrili su veliku kampanju lažnih sajtova koji se predstavljaju kao poznati slobodni alati i distribucija malvere kroz Traffic Distribution System.
Šta se desilo?
Bezbednosni istraživači su otkrili veliku kampanju koja se pravi da su legitimni sajtovi popularne slobodne alate za razvoj softvera i reverzno inženjerstvo. Lažne stranice su visoko rangirane na Google pretrazi i koriste skriveni JavaScriptski kod da preusmere korisnike kroz Traffic Distribution System (TDS) gde se distribuiraju poznati malveri poput Remus Stealer, AnimateClipper i SessionGate framework.
Koga pogađa?
Primarno su ugroženi programeri, bezbednosni stručnjaci i reverzni inženjeri koji traže poznate alate kao što su Ghidra, dnSpy i SpiderFoot. Međutim, napadi mogu zahvatiti i druge korisnike koji slučajno naiđu na lažne sajtove kroz obične Google pretrage. Geografski gledano, najveći broj slučajeva detektovan je u Turskoj, Poljskoj, Brazilu, Nemačkoj, Francuskoj, Rusiji i Velikoj Britaniji.
Kako se zaštititi?
- Uvek proverite da li je domen oficial - proverite URL u adresnoj liniji pre nego što kliknete na dugme za preuzimanje
- Pristupajte resursima direktno preko GitHub linkova ili oficijalne domene projekta umesto kroz Google pretragu
- Koristite alatke za bezbednost koje skeniraju datoteke pre preuzimanja i izvršavanja
- Pazite na diskrepancije između prikazane URL adrese pri hoveru i stvarne destinacije
- Redovno ažurirajte antivirusni softver i održavajte sistem zakrpama
- Pazite na nepredviđena preusmeravanja i neobična ponašanja pregledača nakon preuzimanja
Tehnički detalji
Kampanja je aktivna od septembra 2025, a malversni TDS sloj je uključen od januara 2026. SessionGate je multi-stage loader sa opsežnom antianaliznom logikom koja otežava rad bezbednosnim analitičarima. Remus Stealer može ukrasti podatke iz više od 20 pregledača i pristupa kriptonovčanicima, alatima za dvofaktornu autentifikaciju i upravničima lozinki. AnimateClipper je clipboard clipper koji presreće kriptovalutne transakcije na preko 20 blockchain ekosistema. VirusTotal telemetrija pokazuje između 2000 i 3500 slučajeva SessionGate malvera.
Preporuka Sajber Radara
Korisnici koji traže popularne razvojne i bezbednosne alate trebaju biti izuzetno oprezni i preuzimati software isključivo sa zvanične GitHub stranice ili vladajućeg projekta. Važno je znati da se lažni sajtovi često nalaze na vrhu Google pretrage zahvaljujući optimizaciji, što čini pristup legiti resursima težim.
