Gefälschte Open-Source-Webseiten verbreiten Schadsoftware über Google

Gefälschte Open-Source-Webseiten ranken hoch bei Google und verbreiten über ein Verteilersystem Schadsoftware wie den Remus Stealer.

Sicherheitsforscher des IT-Sicherheitsunternehmens Check Point haben eine großflächige Cyberangriffskampagne dokumentiert. Die Akteure imitieren bekannte Open-Source– und Freeware-Projekte, um Computernutzer zu täuschen und Schadsoftware zu verbreiten. Die manipulierten Webseiten sind gezielt darauf optimiert, in den Suchergebnissen von Suchmaschinen wie Google Spitzenplätze zu belegen. Häufig platziert der Algorithmus diese gefälschten Portale oberhalb der legitimen Herstellerwebseiten. Nach Erkenntnissen des Analyseunternehmens Fullstory liefen erste Phasen dieser Kampagne bereits im September 2025 an, dienten damals jedoch primär der Generierung von Werbeeinnahmen und Suchverkehr. Ab Januar 2026 wurde die zugrundeliegende Infrastruktur für die Verteilung von Malware umgerüstet. Die Angreifer klonen gezielt Webauftritte von vertrauenswürdigen Sicherheits- und Reverse-Engineering-Werkzeugen wie Ghidra, dnSpy und SpiderFoot.

„Die Seiten sind gut gestaltet und sehen auf den ersten Blick oft wie legitime Projektportale aus, wobei sie manchmal auf echte Upstream-Ressourcen verweisen. Die Täuschung liegt nicht im Seiteninhalt allein, sondern darin, was passiert, wenn ein Benutzer interagiert“, sagte Check-Point-Forscher Alexey Bukhteyev. Ein Täuschungsmerkmal besteht darin, dass beim Bewegen des Mauszeigers über die Download-Schaltfläche die korrekte, legitime Quell-URL des echten Projekts angezeigt wird, was bei einer oberflächlichen Prüfung Vertrauen erweckt.

Filterung durch ein Traffic-Distribution-System

Sobald ein Anwender auf die Download-Schaltfläche klickt, wird der Download-Prozess abgefangen. Die gefälschten Webseiten führen im Hintergrund ein über das Content Delivery Network CloudFront bereitgestelltes JavaScript aus. Dieses leitet den Nutzer an ein sogenanntes Traffic Distribution System (TDS) weiter. Das System fungiert als Kontrollinstanz und wendet strenge Filterregeln an, um Sicherheitsforscher und automatisierte Analysewerkzeuge auszuschließen. Gefiltert wird nach Kriterien wie Erstbesuchsstatus, IP-Adressen von Rechenzentren oder aktiven VPN-Verbindungen.

Bukhteyev beschrieb die technische Funktionsweise dieser Ebene: „Diese Seiten laden eine von CloudFront gehostete JavaScript-Staging-Ebene, die einen Klick auf eine ‚Download‘-Schaltfläche/einen ‚Download‘-Link in eine Übergabe an ein Traffic Distribution System (TDS) umwandelt. Das TDS erzwingt ein striktes Gating: Erstbesuchsstatus, obligatorische Klickbestätigung, Anti-Bot-/Anti-Analyse-Logik, VPN-/Rechenzentrum-Filtern und Frequenzbegrenzung.“ Fällt die Prüfung des Besuchers negativ aus oder erfolgt ein wiederholter Zugriff von derselben IP-Adresse, liefert das System harmlose Software wie den Opera-Browser oder legitime Browser-Erweiterungen aus, um die eigentliche Schadfunktion zu verbergen. Nur verifizierte, reale Endnutzer werden auf die Server mit der Schadsoftware weitergeleitet.

Drei Schadsoftware-Familien für Open-Source

Wenn die Filterkette des Verteilersystems erfolgreich durchlaufen wird, lädt das System eine benutzerspezifische Schadsoftware herunter. Die Kampagne verteilt aktuell drei primäre Schadsoftware-Familien:

• SessionGate: Ein mehrstufiger, stark verschleierter Loader, der potenziell unerwünschte Anwendungen installiert. Das Programm verfügt über weitreichende Anti-Analyse-Funktionen, um Erkennungen in Sandbox-Systemen zu verhindern, indem es bei Verdacht eine legitime Installationsroutine vortäuscht. Die finale DLL-Komponente lädt nach dem Verbindungsaufbau zu externen Servern weitere Malware nach und führt diese im Hintergrund über die Eingabeaufforderung cmd.exe aus. Telemetriedaten der Plattform VirusTotal verzeichnen bislang zwischen 2.000 und 3.500 Einreichungen dieses Typs, vorwiegend aus Deutschland, Frankreich, Polen, Großbritannien, der Türkei, Brasilien und Russland.
• Remus Stealer: Ein neuartiger Information-Stealer, der als Malware-as-a-Service vertrieben wird. Die Software entwendet gezielt Daten aus über 20 Webbrowsern, einschließlich Passwörtern, Browser-Erweiterungen, Krypto-Wallets und Daten von Zwei-Faktor-Authentifizierungs-Apps. Es handelt sich um eine technische Variante des Lumma Stealers.
• AnimateClipper: Eine Schadsoftware, die spezifisch auf Transaktionen mit Kryptowährungen abzielt. Das Programm überwacht die Zwischenablage des Betriebssystems und ersetzt kopierte Wallet-Adressen unbemerkt durch Adressen der Angreifer. Dies betrifft mehr als 20 unterschiedliche Blockchain-Ökosysteme.

„Die Einstiegsseiten ahmen legitime Open-Source-Projektportale nach, bewahren echte GitHub-Links, um schnelle visuelle Überprüfungen zu bestehen, und nutzen dann das Abfangen von Klicks, um den ersten Download-Klick in einen durch ein TDS geschützten Stack zu leiten. Das plausiblere Hauptziel ist die Traffic-Akquise und Monetarisierung. Durch die Einbettung einer geschützten TDS-Ebene und das Trichterung von Suchverkehr in diese werden die Betreiber jedoch Teil einer Vertriebskette, zu deren nachgelagerten Konsumenten auch Schadsoftware-Distributoren gehören können. Dieselbe Traffic-Pipeline, die eine graue Monetarisierung vorantreibt, kann auch echte Nutzer selektiv zu schädlichen Payloads leiten.“

Alexey Bukhteyev, Check-Point-Forscher