Các trang web giả mạo công cụ mã nguồn mở xếp hạng cao trên Google để phát tán mã độc qua TDS

Các nhà nghiên cứu an ninh mạng vừa cảnh báo về một chiến dịch quy mô lớn giả mạo các dự án mã nguồn mở và phần mềm miễn phí nhằm dẫn dụ người dùng qua hệ thống phân phối lưu lượng (TDS) để phát tán các loại mã độc như Remus Stealer, AnimateClipper và framework SessionGate. Các trang web này được thiết kế tinh vi để xếp hạng cao trên Google và đánh lừa cả những người dùng có kinh nghiệm.
Các trang web giả mạo dự án mã nguồn mở
Giao diện các trang web giả mạo được thiết kế rất tinh vi để đánh lừa người dùng.

Các nhà nghiên cứu an ninh mạng đã gắn cờ một chiến dịch quy mô lớn chuyên giả mạo các dự án mã nguồn mở và phần mềm miễn phí nhằm dẫn dụ người dùng không cảnh giác thông qua một Hệ thống Phân phối Lưu lượng (TDS) và phát tán các dòng mã độc như Remus Stealer, AnimateClipper và framework SessionGate.

"Các trang web này được thiết kế rất chuyên nghiệp và thoạt nhìn thường giống như các cổng dự án hợp pháp, đôi khi còn tham chiếu đến các tài nguyên nguồn thực tế," nhà nghiên cứu bảo mật Alexey Bukhteyev của Check Point cho biết trong bản phân tích về chiến dịch này. "Sự lừa dối không chỉ nằm ở nội dung trang web, mà còn nằm ở những gì xảy ra khi người dùng tương tác."

"Các trang này tải một lớp dàn dựng JavaScript được lưu trữ trên CloudFront, chuyển đổi lượt nhấp vào nút/liên kết 'tải xuống' thành một bước bàn giao cho Traffic Distribution System (TDS). TDS này thực thi các quy tắc kiểm soát nghiêm ngặt: trạng thái truy cập lần đầu, xác nhận nhấp chuột bắt buộc, logic chống bot/chống phân tích, lọc VPN/trung tâm dữ liệu và giới hạn tần suất."

Chiến dịch này bị nghi ngờ được thiết kế để thu hút lưu lượng truy cập và kiếm tiền, đồng thời dẫn dắt những người dùng được chọn đến hạ tầng phát tán mã độc. Một số trang web bị phát hiện đã giả mạo các công cụ bảo mật và reverse-engineering đáng tin cậy như Ghidra, dnSpy và SpiderFoot.

Các chuỗi tấn công đặc biệt nhắm mục tiêu vào người dùng tìm kiếm các công cụ này trên các công cụ tìm kiếm như Google, khiến các trang web giả mạo xuất hiện ở đầu kết quả tìm kiếm. Một phiên bản sơ khai của chiến dịch này đã được Fullstory ghi lại vào tháng 11 năm 2025. Các bằng chứng cho thấy hoạt động này đã diễn ra từ tháng 9 năm 2025.

"Các tên miền này tập trung vào việc giành thứ hạng cao trên công cụ tìm kiếm bằng cách tận dụng tên tuổi, thương hiệu và sự phổ biến của các trang web và dự án gốc," công ty có trụ sở tại Atlanta lưu ý vào thời điểm đó. "Nhiều trang web nằm trong top bảng xếp hạng trên Google cho các từ khóa tìm kiếm liên quan, thường che mờ cả trang web thực của dự án. Điều này khiến khả năng hiển thị của chúng trở thành một tài sản và có thể tối đa hóa các liên kết và nội dung."

Mặc dù ban đầu không có dấu hiệu cho thấy các tên miền này được sử dụng cho hoạt động độc hại, ngoài việc tạo nội dung để thúc đẩy lưu lượng truy cập và cho phép bên thứ ba quảng cáo trang web của họ, nhưng những phát hiện mới nhất từ Check Point cho thấy các tập lệnh TDS đã được nhúng vào không lâu sau đó, và hạ tầng đã được tái sử dụng để phân phối mã độc bắt đầu từ tháng 1 năm 2026.

Sơ đồ hạ tầng phát tán mã độc
Mô hình hoạt động của hệ thống TDS trong chiến dịch phát tán mã độc.

Việc nhấp vào nút "Download" sẽ khởi động một chuỗi chuyển hướng TDS dẫn đến việc triển khai mã độc. Một trong những khía cạnh đáng chú ý nhất là khi di chuột qua nút này, nó vẫn hiển thị URL hợp pháp nơi có thể tải xuống công cụ, từ đó tạo ra một vẻ ngoài uy tín cho trang web.

Kỹ thuật SEO poisoning để lừa người dùng
Các kỹ thuật thao túng kết quả tìm kiếm giúp các trang web giả mạo đạt thứ hạng cao.

Các chuỗi chuyển hướng cũng được thiết lập sao cho các nỗ lực truy cập lặp lại từ cùng một địa chỉ IP sẽ dẫn đến việc tải xuống các phần mềm vô hại, như trình duyệt Opera hoặc các tiện ích mở rộng trình duyệt không cần thiết. Một số payload được phân phối qua TDS này bao gồm:

  • SessionGate: Một loader đa giai đoạn, được làm xáo trộn (obfuscated) chưa từng được biết đến trước đây, được sử dụng để phân phối các ứng dụng tiềm ẩn không mong muốn (PUA), đồng thời kết hợp các cơ chế chống phân tích sâu rộng để đánh lừa các sandbox bằng cách chuyển sang quy trình cài đặt phần mềm vô hại.
  • Remus Stealer: Một phần mềm đánh cắp thông tin mới được cung cấp theo mô hình malware-as-a-service (MaaS), có thể đánh cắp dữ liệu từ hơn 20 trình duyệt, bao gồm hàng trăm tiện ích mở rộng và ứng dụng như ví tiền điện tử, công cụ xác thực hai yếu tố và trình quản lý mật khẩu. Remus được tin là một biến thể của Lumma Stealer.
  • AnimateClipper: Một loại mã độc đánh cắp tiền điện tử có thể thay thế địa chỉ ví được sao chép vào clipboard và chiếm đoạt các giao dịch trên hơn 20 hệ sinh thái blockchain. Nó được phân phối thông qua mồi nhử ClickFix.

Một phân tích về dữ liệu đo lường từ VirusTotal đã tiết lộ khoảng 2.000 đến 3.500 mẫu liên quan đến họ SessionGate tính đến thời điểm hiện tại. Phần lớn các mẫu này đến từ Thổ Nhĩ Kỳ, Ba Lan, Brazil, Đức, Pháp, Nga và Vương quốc Anh.

Mục tiêu cuối cùng của trình tự nhiễm mã độc SessionGate là thả một payload duy nhất cho mỗi máy khách và chỉ được phân phối sau khi đi hết con đường chuyển hướng. Chuỗi phân phối đa giai đoạn, kết hợp với logic xác thực mở rộng và kiểm soát phía TDS, được thiết kế để chống lại việc phân tích và khiến việc truy xuất payload trở thành một nhiệm vụ đầy thách thức đối với các chuyên gia.

Payload DLL cuối cùng chịu trách nhiệm giao tiếp với một máy chủ bên ngoài, truy xuất cấu hình đã mã hóa từ máy chủ, trích xuất URL tải xuống từ cấu hình, sau đó tải xuống và thực thi ngầm mã độc giai đoạn tiếp theo thông qua "cmd.exe".

"Các trang web đầu vào bắt chước các cổng dự án mã nguồn mở hợp pháp, giữ nguyên các liên kết GitHub thực để vượt qua các bước kiểm tra nhanh bằng mắt, và sau đó sử dụng kỹ thuật chặn lượt nhấp để định tuyến lượt nhấp tải xuống đầu tiên vào hệ thống TDS được kiểm soát," Bukhteyev nói.

"Mục tiêu chính có khả năng nhất là thu thập lưu lượng truy cập và kiếm tiền. Tuy nhiên, bằng cách nhúng một lớp TDS và chuyển hướng lưu lượng tìm kiếm vào đó, những kẻ vận hành trở thành một phần của chuỗi phân phối mà khách hàng hạ nguồn có thể bao gồm những kẻ phát tán mã độc. Cùng một đường ống lưu lượng thúc đẩy việc kiếm tiền xám cũng có thể chọn lọc định tuyến người dùng thực đến các payload độc hại."