Hoe Hackers met Valse Open-Source-Toolsites Kliks Kapen en Malware Verspreiden

Gelaagd Verkeersdistributiesysteem: Filteren op Waardevolle Doelwitten

Het Traffic Distribution System fungeert als een geavanceerde poortwachter, niet als een simpele doorverwijzer. Uit de analyse van Check Point blijkt dat het systeem meerlaagse anti-analysetechnieken en filters toepast om echte slachtoffers te scheiden van beveiligingsonderzoekers, sandboxes en geautomatiseerde scanners. Alleen gebruikers die door deze controles komen, worden naar de uiteindelijke malware-payloads geleid . Deze selectieve levering maakt de campagne moeilijker in kaart te brengen en verhoogt de waarde van elke succesvolle infectie voor de beheerders. Om detectie verder te bemoeilijken, gebruikt het systeem technieken zoals per-sessie sleutels en eenmalige sleuteluitgiftes .

Het Malware-Drietal: RemusStealer, AnimateClipper en SessionGate

De campagne is waargenomen bij het verspreiden van drie verschillende malwarefamilies, elk met een ander verdienmodel.

• RemusStealer: Een infostealer als Malware-as-a-Service (MaaS) op abonnementsbasis, verkocht voor $250–$500. Het mikt op een breed scala aan gevoelige gegevens, waaronder inloggegevens uit meer dan 20 browsers, data van meer dan 220 browserextensies voor cryptowallets, wachtwoordmanagers en 2FA-tools .
• AnimateClipper: Een cryptocurrency-clipper ontworpen om transacties in real-time te kapen door het door de gebruiker gekopieerde walletadres te vervangen door een adres van de aanvaller. Het kan transacties op meer dan 20 verschillende blockchain-ecosystemen monitoren en onderscheppen .
• SessionGate: Dit voorheen onbeschreven raamwerk is een meertraps loader die zware versluiering en uitgebreide anti-analysetechnieken gebruikt om Potentieel Ongewenste Applicaties (PUA's) of andere payloads af te leveren. Het fungeert als het eerste steunpunt en de loader in de geobserveerde aanvalsketens .

Een Wereldwijde, Langlopende Operatie

De omvang van de campagne is aanzienlijk. Check Point meldt dat het ecosysteem sinds eind 2025 actief is en meer dan 5.000 VirusTotal-inzendingen heeft gegenereerd, wat duidt op een brede slachtofferbasis. De voornaamste geografische doelwitten bestrijken de hele wereld met veel activiteit in Turkije, Polen, Brazilië, Duitsland, Frankrijk, Rusland en het Verenigd Koninkrijk .

Voor ontwikkelaars en beveiligingsprofessionals is de boodschap helder en urgent. Het tijdperk van het achteloos downloaden van een tool op basis van een zoekresultaat is voorbij. Gebruikers moeten verifiëren of ze op de officiële projectpagina zitten, direct naar de bekende GitHub- of GitLab-pagina gaan en argwanend zijn bij elke download die niet onmiddellijk het verwachte bestand oplevert. De professionaliteit van deze valse sites maakt een visuele inspectie alleen een ontoereikende verdediging tegen een ecosysteem dat is gebouwd op gestolen vertrouwen en geautomatiseerd bedrog.