Uma operação em larga escala cria sites falsos de ferramentas populares de código aberto para distribuir malware. A campanha usa um sistema sofisticado de redirecionamento de tráfego que age invisível para o usuário e já acumulou mais de 5 mil submissões no VirusTotal, com alcance real provavelmente muito maior. A descoberta é da Check Point Research.

Os sites identificados imitam páginas oficiais de ferramentas amplamente usadas por profissionais de segurança e desenvolvedores, como Ghidra e dnSpy, usados para análise de malware e engenharia reversa, e também utilitários populares como CrystalDiskMark e MQTTExplorer.

O design dessas páginas é cuidadoso o suficiente para enganar até quem conhece as ferramentas originais. O botão de download mostra, na barra de status do navegador, o endereço real do repositório no GitHub. Isso significa que até a dica visual mais básica de verificação de links passa na checagem. A armadilha não está no visual da página, mas em um script carregado silenciosamente quando o usuário acessa o site.

O clique é sequestrado antes de chegar ao destino real

Quando a página carrega, ela busca um script JavaScript hospedado na infraestrutura CloudFront, o serviço de entrega de conteúdo da Amazon. Esse script aguarda o primeiro clique do usuário no botão de download e o intercepta antes que o navegador siga o link original.

O clique é redirecionado para o Sistema de Distribuição de Tráfego (TDS), que funciona como uma central de triagem de visitantes. Basicamente, o TDS analisa quem está clicando, de que país é o usuário, qual navegador usa, se está acessando por VPN ou por um datacenter, e se já visitou o site antes.

Com base nessas informações, o sistema decide para onde enviar cada visitante. Alguns recebem um software legítimo, como o navegador Opera. Outros são redirecionados para malware. Esse comportamento condicional é justamente o que torna a campanha difícil de detectar. Repetir o acesso a partir do mesmo endereço IP geralmente leva a um resultado benigno, já que o sistema registra visitas anteriores e altera o comportamento.

Três famílias de malware identificadas na cadeia

A Check Point identificou três famílias de malware distribuídas pelos redirecionamentos. A primeira é o SessionGate, um loader inédito com múltiplos estágios de proteção. O instalador falso contém um arquivo embutido com um programa real, usado como distração para sandboxes e analistas. O código malicioso só avança se o ambiente não parecer uma máquina de análise. 

Isso porque o SessionGate verifica a presença de ferramentas de segurança, analisa o nome do usuário e do computador por hash e checa configurações do Windows Defender antes de prosseguir.

Quando o SessionGate decide agir, ele baixa um segundo estágio do servidor, que só funciona com uma chave gerada especificamente para aquela sessão. Pesquisadores que tentam repetir o processo recebem uma chave diferente, que descriptografa o payload em dados inúteis. O resultado final, nos casos analisados, foi a instalação silenciosa de aplicativos indesejados, os chamados PUAs.

A segunda família é o RemusStealer, um infostealer comercializado em fóruns russos desde fevereiro de 2026, com planos de assinatura entre US$ 250 e US$ 500. Ele é capaz de roubar dados de mais de 20 navegadores, além de extensões de carteiras de criptomoedas, gerenciadores de senha como Bitwarden, 1Password e LastPass, e autenticadores de dois fatores como Authy. A lista de alvos inclui mais de 220 carteiras de criptomoedas diferentes.

A terceira é o AnimateClipper, um clipper de criptomoedas. Ele monitora a área de transferência do sistema, detecta quando o usuário copia um endereço de carteira e o substitui silenciosamente por um endereço controlado pelos atacantes. A vítima cola o que acredita ser o endereço correto e envia os fundos para os criminosos sem perceber.

O malware consulta um contrato inteligente na rede de testes da BNB Smart Chain para obter o endereço do servidor de controle, uma técnica que dificulta o bloqueio da infraestrutura.

Mais de 100 sites ativos com a mesma estrutura

Os pesquisadores identificaram mais de 100 domínios ativos usando os mesmos scripts e identificadores de campanha. A atividade remonta pelo menos a dezembro de 2025, com distribuição de malware registrada desde janeiro de 2026.

A operação não exige que os responsáveis pelos sites falsos sejam os mesmos que distribuem o malware. O TDS funciona como um intermediário que vende o acesso ao tráfego filtrado para diferentes compradores, o que distribui a responsabilidade e complica a atribuição.

Para o usuário, a proteção mais imediata é acessar diretamente os repositórios oficiais dos projetos, sem confiar no primeiro resultado do Google. Ferramentas de segurança como Ghidra e dnSpy têm páginas verificadas no GitHub, e qualquer site que não seja esse endereço deve ser tratado com desconfiança.

Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.