Auf den Punkt: Attackierer betreiben bei Google hochgerankte Fake-Seiten für Tools wie Ghidra und dnSpy, leiten Nutzer über ein TDS-gesteuertes JavaScript an Malware-Server weiter und umgehen dabei Sicherheitsanalysen durch Filterung von VPN, Rechenzentren und wiederholten Zugriffen.
Check Point dokumentiert eine großflächige Kampagne, in der Angreifer Webauftritte bekannter Open-Source-Projekte klonen und per Suchmaschinen-Ranking als Malware-Verteilkanal missbrauchen. Das zugrunde liegende Traffic-Distribution-System filtert gezielt Sicherheitsforscher und automatisierte Analyse-Tools aus.
Sicherheitsforscher von Check Point haben eine Cyberangriffskampagne dokumentiert, die bekannte Open-Source- und Freeware-Projekte imitiert. Die manipulierten Webseiten sind dabei gezielt für Suchmaschinen-Ranking optimiert und erscheinen in Google-Suchergebnissen häufig oberhalb der legitimen Herstellerwebseiten. Besonders betroffen sind Sicherheits- und Reverse-Engineering-Tools wie Ghidra, dnSpy und SpiderFoot. Laut Fullstory liefen erste Phasen der Kampagne bereits im September 2025 an, dienten damals primär der Werbeeinnahmen-Generierung. Ab Januar 2026 wurde die Infrastruktur zur Malware-Verteilung umgerüstet.
Die gefälschten Seiten sind visuell hochwertig gestaltet und verweisen teilweise auf echte Upstream-Ressourcen. Ein zentrales Täuschungsmerkmal: Beim Überfahren der Download-Schaltfläche mit der Maus wird die korrekte URL des echten Projekts angezeigt, was Vertrauen suggeriert. Beim tatsächlichen Klick wird der Download jedoch durch ein über CloudFront bereitgestelltes JavaScript abgefangen und an ein Traffic-Distribution-System (TDS) umgeleitet. Dieses TDS fungiert als Kontrollinstanz und wendet strikte Filterregeln an: Es prüft den Erstbesuchsstatus, blockiert IP-Adressen von Rechenzentren und VPN-Verbindungen, implementiert Anti-Bot-Logik und begrenzt die Zugriffshäufigkeit pro IP. Nutzer, die diese Prüfung nicht bestehen, erhalten harmlose Software wie den Opera-Browser oder legitime Erweiterungen, um die eigentliche Schadsoftware zu verschleiern.
Besucher, die die Filterung erfolgreich durchlaufen, erhalten benutzerspezifische Malware. Die Kampagne verteilt aktuell primär die Schadsoftware SessionGate: ein mehrstufiger, stark verschleierter Loader mit umfangreichen Anti-Analyse-Funktionen. Er verfügt über Sandbox-Evasion-Techniken, täuscht legitime Installationsroutinen vor und lädt nach Verbindungsaufbau zu externen Servern weitere Malware nach. Diese wird dann über cmd.exe im Hintergrund ausgeführt. Laut VirusTotal verzeichnet SessionGate zwischen 2.000 und 3.500 Einreichungen, vorwiegend aus Deutschland, Frankreich und Polen. Die Kampagne demonstriert, wie Angreifer SEO-Manipulation, soziales Engineering und technische Evasion kombinieren, um an legitimen Sicherheits-Tools vorbeizukommen.
Quelle: www.it-daily.net · Erschienen 10. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.