09 jun Mais de 100 sites de ferramentas de código aberto distribuem vírus, aponta relatório
Uma operação em larga escala cria sites falsos de ferramentas populares de código aberto para distribuir malware. A campanha usa um sistema sofisticado de redirecionamento de tráfego que age invisível para o usuário e já acumulou mais de 5 mil submissões no VirusTotal, com alcance real provavelmente muito maior. A descoberta é da Check Point Research.
Os sites identificados imitam páginas oficiais de ferramentas amplamente usadas por profissionais de segurança e desenvolvedores, como Ghidra e dnSpy, usados para análise de malware e engenharia reversa, e também utilitários populares como CrystalDiskMark e MQTTExplorer.
O design dessas páginas é cuidadoso o suficiente para enganar até quem conhece as ferramentas originais. O botão de download mostra, na barra de status do navegador, o endereço real do repositório no GitHub. Isso significa que até a dica visual mais básica de verificação de links passa na checagem. A armadilha não está no visual da página, mas em um script carregado silenciosamente quando o usuário acessa o site.
Páginas falsas de ferramentas como Ghidra, dnSpy e GRPCurl compartilham o mesmo padrão visual profissional. Imagem: Check Point Research.
O clique é sequestrado antes de chegar ao destino real
Quando a página carrega, ela busca um script JavaScript hospedado na infraestrutura CloudFront, o serviço de entrega de conteúdo da Amazon. Esse script aguarda o primeiro clique do usuário no botão de download e o intercepta antes que o navegador siga o link original.
O clique é redirecionado para o Sistema de Distribuição de Tráfego (TDS), que funciona como uma central de triagem de visitantes. Basicamente, o TDS analisa quem está clicando, de que país é o usuário, qual navegador usa, se está acessando por VPN ou por um datacenter, e se já visitou o site antes.
Dados do VirusTotal mostram amostras do SessionGate com milhares de submissões, sendo que um único arquivo acumulou 3,6 mil envios entre janeiro e março de 2026, evidenciando o alcance expressivo da campanha. Imagem: Check Point Research
Com base nessas informações, o sistema decide para onde enviar cada visitante. Alguns recebem um software legítimo, como o navegador Opera. Outros são redirecionados para malware. Esse comportamento condicional é justamente o que torna a campanha difícil de detectar. Repetir o acesso a partir do mesmo endereço IP geralmente leva a um resultado benigno, já que o sistema registra visitas anteriores e altera o comportamento.
Três famílias de malware identificadas na cadeia
A Check Point identificou três famílias de malware distribuídas pelos redirecionamentos. A primeira é o SessionGate, um loader inédito com múltiplos estágios de proteção. O instalador falso contém um arquivo embutido com um programa real, usado como distração para sandboxes e analistas. O código malicioso só avança se o ambiente não parecer uma máquina de análise.
Isso porque o SessionGate verifica a presença de ferramentas de segurança, analisa o nome do usuário e do computador por hash e checa configurações do Windows Defender antes de prosseguir.
Na busca por “ghidra” no Google, o site ghidralite.com aparece logo abaixo do repositório oficial da NSA. Imagem: Check Point Research.
Quando o SessionGate decide agir, ele baixa um segundo estágio do servidor, que só funciona com uma chave gerada especificamente para aquela sessão. Pesquisadores que tentam repetir o processo recebem uma chave diferente, que descriptografa o payload em dados inúteis. O resultado final, nos casos analisados, foi a instalação silenciosa de aplicativos indesejados, os chamados PUAs.
O site ghidralite.com imita a página oficial do Ghidra, ferramenta de engenharia reversa da NSA. O botão de download aponta visivelmente para o GitHub legítimo, mas um script oculto intercepta o clique e redireciona o usuário para a infraestrutura maliciosa. Imagem: Check Point Research.
A segunda família é o RemusStealer, um infostealer comercializado em fóruns russos desde fevereiro de 2026, com planos de assinatura entre US$ 250 e US$ 500. Ele é capaz de roubar dados de mais de 20 navegadores, além de extensões de carteiras de criptomoedas, gerenciadores de senha como Bitwarden, 1Password e LastPass, e autenticadores de dois fatores como Authy. A lista de alvos inclui mais de 220 carteiras de criptomoedas diferentes.
A terceira é o AnimateClipper, um clipper de criptomoedas. Ele monitora a área de transferência do sistema, detecta quando o usuário copia um endereço de carteira e o substitui silenciosamente por um endereço controlado pelos atacantes. A vítima cola o que acredita ser o endereço correto e envia os fundos para os criminosos sem perceber.
O malware consulta um contrato inteligente na rede de testes da BNB Smart Chain para obter o endereço do servidor de controle, uma técnica que dificulta o bloqueio da infraestrutura.
O clique é interceptado pelo script CloudFront, passa por filtros antibots e, dependendo do perfil da vítima, é enviado a páginas com arquivos maliciosos distintos. Imagem: Check Point Research;
Mais de 100 sites ativos com a mesma estrutura
Os pesquisadores identificaram mais de 100 domínios ativos usando os mesmos scripts e identificadores de campanha. A atividade remonta pelo menos a dezembro de 2025, com distribuição de malware registrada desde janeiro de 2026.
A operação não exige que os responsáveis pelos sites falsos sejam os mesmos que distribuem o malware. O TDS funciona como um intermediário que vende o acesso ao tráfego filtrado para diferentes compradores, o que distribui a responsabilidade e complica a atribuição.
Para o usuário, a proteção mais imediata é acessar diretamente os repositórios oficiais dos projetos, sem confiar no primeiro resultado do Google. Ferramentas de segurança como Ghidra e dnSpy têm páginas verificadas no GitHub, e qualquer site que não seja esse endereço deve ser tratado com desconfiança.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.