TexnoX-in baxışı (Deep Insight)
Önəmli Detallar
- Saxta portallar istifadəçini əvvəlcə TDS infrastrukturu ilə qarşılayır, daha sonra anti-bot yoxlaması və trafik filtrasiyası tətbiq edir.
- Araşdırmada RemusStealer və AnimateClipper kimi malware ailələri ilə əlaqəli yönləndirmələr aşkar olunub.
- İnfrastrukturun bir hissəsində CloudFront üzərində yerləşdirilən JavaScript-dən istifadə edildiyi qeyd olunur.
Ətraflı Məqalə
Açıq mənbə və pulsuz proqram alətlərini təqlid edən saxta saytlar Google-da yüksək mövqelərə çıxaraq istifadəçiləri zərərli proqram paylayan infrastrukturun içinə çəkir. Araşdırmaya görə, bu kampaniyanın mərkəzində Traffic Distribution System dayanır və o, ziyarətçiləri mərhələli şəkildə seçib yönləndirir. Bu yanaşma zərərli trafiki birbaşa yaymaq əvəzinə, legitim yükləmə səhifəsi təəssüratı yaradır.
Tədqiqatçılar ziyarətçinin ilk mərhələdə skript əsaslı yönləndirmə ilə qarşılandığını, sonra isə anti-bot yoxlaması, VPN və data mərkəzi filtrasiyası və müraciət sürətinin tənzimlənməsi kimi addımların tətbiq edildiyini bildirir. Bu, kampaniyanın həm təhlükəsizlik alətlərini, həm də avtomatlaşdırılmış analiz sistemlərini aşmaq üçün qurulduğunu göstərir. Məqsəd, yalnız real istifadəçiləri saxlayıb qalan trafiki kəsməkdir.
İnkişafın kritik tərəfi odur ki, hücum vektoru kimi tanınmış açıq mənbə layihələrinin nüfuzundan istifadə olunur. Bu, xüsusilə developer mühitlərində və müəssisələrdə endirmə vərdişlərinə əsaslanan risk yaradır, çünki istifadəçilər mənbəyi tanış hesab edib yoxlamanı zəiflədə bilər. Belə kampaniyalar vendor lock-in-dən qaçmaq üçün alternativ alətlər axtaran təşkilatlar üçün də əlavə təhlükə yaradır.
Məlumatlara görə, fəaliyyət 2026-cı ilin əvvəlindən görünməyə başlayıb və RemusStealer ilə AnimateClipper ailələri ilə əlaqələndirilir. Bu model göstərir ki, axtarış nəticələri, yönləndirmə infrastrukturu və zərərli payload bir zəncir kimi işləyə bilər. Nəticədə təhlükə təkcə istifadəçi cihazları ilə məhdudlaşmır, həm də korporativ giriş məlumatları və əməliyyat mühitləri üçün risk yaradır.
