Исследователи обнаружили крупную схему с поддельными сайтами загрузки, которые маскировались под популярные инструменты для анализа кода, реверс-инжиниринга и OSINT. В числе приманок — Ghidra, dnSpy, SpiderFoot, ILSpy, grpcurl, MQTT Explorer, MFCMAPI, CrystalDiskMark и другие проекты, которым обычно доверяют разработчики, системные администраторы и специалисты по безопасности.
Сайты были сделаны достаточно аккуратно: с нормальным дизайном, описанием продукта и ссылками, которые при беглом просмотре могли вести на настоящие репозитории GitHub. Некоторые поддельные домены попадали высоко в результаты поиска по запросам, связанным с инструментами для реверса и разработки. Человек ищет Ghidra или dnSpy, открывает один из первых результатов, видит приличную страницу и кнопку загрузки. Проверка «куда ведёт ссылка» тоже могла не помочь: видимая ссылка сохранялась настоящей, а перехват происходил уже после клика.
Для Chrome и Firefox использовались разные события. В Chrome перехват мог срабатывать на mousedown, в Firefox — на клик. Скрипт фиксировал выбранную пользователем ссылку, создавал runtime-адрес для TDS, открывал новый маршрут и отменял исходный переход. Для пользователя всё выглядело как обычная загрузка, но фактический маршрут уже контролировался другой инфраструктурой.
Первый клик перехватывал JavaScript, загруженный через Amazon CloudFront. Скрипт отменял обычный переход по ссылке и отправлял браузер в систему распределения трафика — TDS. Это прослойка, которая решает, куда отправить конкретного посетителя: на безобидный файл, рекламную цепочку, потенциально нежелательное приложение или вредоносную загрузку.
Дополнительный трюк — ограничение повторов. Первый подходящий клик мог увести в TDS-цепочку, а повторное открытие с того же IP-адреса или после обновления страницы возвращало уже нормальную ссылку. Из-за этого исследователям сложнее воспроизвести заражение: при повторной проверке сайт может выглядеть почти чистым.
В кампании фигурировали поддельные сайты под инструменты, которые часто используют технические специалисты.
Ghidra — фреймворк для обратной разработки программ. Его применяют для анализа скомпилированного кода, дизассемблирования, декомпиляции, изучения вредоносных файлов и легитимного аудита ПО.
dnSpy и его продолжения используются для анализа, отладки и редактирования .NET-сборок. Это типичный инструмент разработчиков, исследователей и людей, которым нужно разобраться в поведении приложения без исходного кода.
SpiderFoot — платформа для OSINT и разведки поверхности атаки. Она собирает данные из разных источников, помогает искать домены, IP-адреса, учётные записи, утечки, следы инфраструктуры и другие открытые сведения.
Исследователи обнаружили свыше 100 активных сайтов, которые встраивали похожие CloudFront-скрипты и использовали близкие идентификаторы кампаний. Среди примеров доменов назывались подделки под Ghidra, dnSpy, ILSpy, grpcurl, MQTT Explorer, CrystalDiskMark и другие утилиты.
Телеметрия VirusTotal по связанным образцам дала больше 5 000 отправок и проверок.
Похожие поддельные порталы для open-source- и freeware-проектов замечали ещё осенью 2025 года. Тогда прямой вредоносной доставки во всех проверенных образцах не нашли, но домены уже имитировали известные проекты и могли стать точками входа для фишинга или заражения. Новое исследование показывает, что инфраструктура развилась: к декабрю 2025 года в ней уже работали TDS-скрипты, а с января 2026 года фиксировалась доставка вредоносных файлов.
В цепочках фигурировали три ключевых семейства: SessionGate, RemusStealer и AnimateClipper.
SessionGate — многоступенчатый загрузчик с сильной обфускацией и проверками среды. Он сначала проверяет окружение, обращается к управляющему серверу, получает данные для следующего этапа, использует одноразовую логику выдачи ключей и может вести себя безобидно, если запуск произошёл не в нужном сценарии.
RemusStealer — стилер, ориентированный на кражу данных из браузеров, расширений и приложений. В списке интересующих целей фигурировали менеджеры паролей, криптокошельки, расширения для двухфакторной аутентификации и другие источники чувствительных данных.
AnimateClipper — криптоклиппер. Он следит за буфером обмена и подменяет адрес криптокошелька на адрес злоумышленника.
В одной из цепочек использовался приём ClickFix: страница имитировала проверку, похожую на антибот-экран, и предлагала пользователю выполнить команду через mshta.exe. Это системная утилита Windows для запуска HTML Application. Вредоносные кампании любят такие встроенные инструменты, потому что они уже есть в системе и могут запускать удалённый скриптовый код.
Главное правило: не скачивать инструменты с доменов, найденных «просто через поиск», если проект известен и имеет официальный репозиторий. Для Ghidra безопаснее идти через официальный репозиторий NationalSecurityAgency/ghidra или официальный сайт проекта. Для dnSpy — через актуальную страницу поддерживаемого форка. Для SpiderFoot — через репозиторий smicallef/spiderfoot или сайт проекта.
Перед запуском архива или установщика стоит проверить:
- домен;
- владельца репозитория;
- дату создания сайта или репозитория;
- историю релизов;
- цифровую подпись, если она есть;
- хеши файлов, если проект их публикует;
- совпадение ссылок на релизы с официальной документацией;
- поведение кнопки Download в чистом профиле браузера и без расширений, если файл нужен для рабочей среды.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
