Amaran Keselamatan: Laman Tiruan Alat Sumber Terbuka Digunakan untuk Culik Klik dan Sebarkan Malware

Sistem Pengedaran Trafik 'Berpagar': Menapis Sasaran Bernilai Tinggi

TDS ini bertindak sebagai penjaga pintu yang canggih, bukan sekadar pengalih mudah. Analisis Check Point mendedahkan ia menggunakan pelbagai lapisan penapisan dan anti-analisis untuk membezakan mangsa sebenar daripada penyelidik keselamatan, kotak pasir (sandbox), dan perangkak automatik. Hanya pengguna yang melepasi pemeriksaan ini akan dihalakan ke muatan malware terakhir . Penghantaran terpilih ini menjadikan kempen lebih sukar untuk dipetakan dan meningkatkan nilai setiap jangkitan yang berjaya kepada pengendali. Untuk terus mengelak pengesanan, sistem ini menggunakan teknik seperti kunci per-sesi dan pelepasan kunci sekali guna .

Tiga Jenis Malware: RemusStealer, AnimateClipper, dan SessionGate

Kempen ini diperhatikan menghantar tiga jenis keluarga malware yang berbeza, setiap satu mempunyai tujuan pengewangan yang spesifik.

• RemusStealer: Ini adalah alat pencuri maklumat (infostealer) berasaskan langganan dalam model Malware-as-a-Service (MaaS), dijual pada harga $250–$500 (sekitar RM1,100 hingga RM2,200). Ia menyasarkan pelbagai data sensitif, termasuk bukti kelayakan dari lebih 20 pelayar, data dari lebih 220 sambungan dompet kriptowang, pengurus kata laluan, dan alat pengesahan dua faktor (2FA) .
• AnimateClipper: Sejenis clipper kriptowang yang direka untuk merampas transaksi dalam masa nyata dengan menukar alamat dompet yang disalin pengguna dengan alamat yang dikawal penyerang. Ia mampu memantau dan memintas transaksi di lebih 20 ekosistem rantaian blok (blockchain) yang berbeza .
• SessionGate: Kerangka kerja yang sebelum ini tidak didokumenkan, ia adalah pemuat (loader) berbilang peringkat yang menggunakan pengeliruan kod yang berat dan anti-analisis meluas untuk menghantar aplikasi yang mungkin tidak diingini (PUA) atau muatan lain. Ia bertindak sebagai pemuat dan titik tumpuan awal dalam rantaian serangan yang diperhatikan .

Operasi Global yang Lama Berjalan

Skala kempen ini amat ketara. Check Point melaporkan ekosistem ini telah aktif sejak akhir 2025 dan telah menjana lebih 5,000 penyerahan kepada VirusTotal, menunjukkan jumlah mangsa yang ramai. Sasaran geografi utama merangkumi seluruh dunia, dengan aktiviti tinggi tertumpu di Turki, Poland, Brazil, Jerman, Perancis, Rusia, dan United Kingdom .

Bagi pembangun perisian dan profesional keselamatan, inti patinya adalah jelas dan mendesak. Zaman memuat turun alatan secara sambil lewa berdasarkan hasil carian sudah berakhir. Pengguna mesti mengesahkan mereka berada di repositori projek yang rasmi, terus melawati halaman GitHub atau GitLab yang sah, dan berwaspada terhadap sebarang muat turun yang tidak memberikan fail yang diharapkan. Profesionalisme laman-laman palsu ini menjadikan pemeriksaan visual sahaja tidak mencukupi sebagai pertahanan terhadap ekosistem yang dibina atas kepercayaan yang dicuri dan penipuan automatik.