Enlace a GitHub que oculta malware: estafadores convierten la búsqueda de programas gratis en una auténtica pesadilla
Un clic descuidado abre puertas a lugares que el usuario no tenía intención de visitar.
La búsqueda de utilidades habituales cada vez más se convierte en una trampa: el sitio parece oficial, el enlace al pasar el cursor conduce a GitHub, el diseño no despierta sospechas, pero el primer clic en el botón de descarga puede enviar al usuario a una dirección totalmente distinta. El equipo de Check Point Research, dirigido por Alexey Bukhteev describió una nueva estafa en la que páginas falsificadas de proyectos de código abierto y programas gratuitos redirigían el tráfico a infraestructura maliciosa.
Los operadores de la campaña crearon sitios que imitaban portales de software popular, incluidos Ghidra, dnSpy, ILSpy, SpiderFoot, grpcurl, MQTT Explorer y CrystalDiskMark. Algunos dominios aparecían alto en los resultados de búsqueda de Google, por lo que el usuario podía confundir la falsificación con el sitio real del proyecto. Las páginas a menudo conservaban enlaces a repositorios legítimos, pero cargaban un componente JavaScript a través de Amazon CloudFront que interceptaba el primer clic en el botón «Download».
Tras el clic, el usuario llegaba al Sistema de distribución de tráfico (TDS), es decir, a un sistema de reparto de tráfico. Este comprobaba la dirección IP, el país, el navegador, indicios de VPN, el comportamiento del cliente y la frecuencia de visitas. En intentos repetidos, el sitio podía abrir un enlace legítimo o ofrecer software inofensivo, lo que dificultaba el análisis. Según Check Point Research, el clúster incluía más de 100 sitios activos y las muestras relacionadas acumularon más de 5000 envíos a VirusTotal.
A continuación, la cadena se ramificaba en varias direcciones. Algunos usuarios eran dirigidos a páginas asociadas de descarga y aplicaciones potencialmente no deseadas, otros recibían software malicioso. Entre las familias detectadas se encontraban RemusStealer, AnimateClipper y la plataforma hasta entonces desconocida SessionGate.
La plataforma SessionGate destacaba por su entrega multinivel y su filtrado estricto. El cargador podía mostrar un instalador normal de 7-Zip si el entorno parecía sospechoso, pero tras una verificación exitosa se conectaba con servidores de control y obtenía componentes adicionales. Las claves para descifrar los módulos se entregaban mediante una comprobación en el servidor y, según los autores del informe, podían estar vinculadas a una sesión concreta. Este enfoque dificultaba reproducir la infección en laboratorio y ocultaba el componente final.
RemusStealer estaba dirigido a datos de navegadores, extensiones de billeteras de criptomonedas, gestores de contraseñas, herramientas de 2FA, archivos, el registro, el portapapeles y capturas de pantalla. En una de las tareas el malware obtuvo una lista de 332 extensiones, entre ellas MetaMask, Phantom, Bitwarden, 1Password, LastPass, Authy y otros productos populares.
Otra rama condujo a la página ClickFix, que imitaba una comprobación de Cloudflare y convencía de ejecutar un comando mediante mshta.exe. La carga final era AnimateClipper. El programa vigilaba el portapapeles y sustituía las direcciones de billeteras por direcciones de los atacantes, y el servidor de control lo localizaba mediante una consulta al contrato inteligente en BNB Smart Chain Testnet.
Los autores del informe consideran que toda la infraestructura pudo haber funcionado originalmente como un sistema de monetización de tráfico, no como una operación totalmente maliciosa. Pero la capa integrada del TDS permitía transferir las sesiones apropiadas a operadores externos, incluidos distribuidores de malware. Como resultado, un indicador externo de confianza —un sitio pulcro en los resultados de búsqueda— se convirtió en parte de una cadena que el usuario casi no podía verificar.