Злоумышленники используют площадку SourceForge для распространения вредоносного ПО под видом официальных надстроек Microsoft Office, сообщают аналитики Kaspersky. Кампания уже затронула более 4600 устройств, большая часть — в России. Вредоносный проект маскировался под легитимный репозиторий с инструментами для разработчиков, но на деле заражал компьютеры вирусами, которые майнят криптовалюту и подменяют адреса в буфере обмена.
Как работает схема заражения
Проект под названием officepackage был размещен на SourceForge и выглядит как копия настоящего проекта Microsoft Office-Addin-Scripts, доступного на GitHub. Его описание и структура совпадали с оригиналом. Когда пользователи искали расширения для Office через поисковики, они попадали на страницу officepackage.sourceforge.io — внешне она была похожа на легальный сайт для разработчиков с кнопками «Office Add-ins» и «Download».
После нажатия предлагался ZIP-архив, внутри которого находится файл installer.msi, замаскированный под установщик. Объем файла — 700 МБ. При запуске происходит извлечение исполняемого файла UnRAR.exe, архива 51654.rar и скрипта на VB, который загружает файл confvk.bat с GitHub.
Далее вредонос проверяет среду выполнения, наличие антивирусов и загружалет второй скрипт confvz.bat, который устанавливает постоянное присутствие через автозагрузку и службу Windows.
Что получали злоумышленники
Сообщается, что в архиве содержатся AutoIT-интерпретатор (Input.exe), Netcat (обратная оболочка ShellExperienceHost.exe), а также два .dll-файла — Icon.dll и Kape.dll. Один из них запускает скрытый майнер криптовалюты, второй — так называемый клиппер: он отслеживает буфер обмена пользователя и подменяет адреса криптокошельков на те, что контролирует злоумышленник.
Дополнительно троян собирает информацию о зараженной системе и передает ее через Telegram API. Через этот же канал атакующие могут доставлять новые вредоносные модули.
Источник трафика — поисковики
Хотя проект уже удален с платформы SourceForge, он успел проиндексироваться в Google и других поисковиках, откуда и приходил трафик. Распространение шло именно через страницу проекта, созданную с помощью функции веб-хостинга, доступной на SourceForge.
Президент SourceForge Логан Абботт (Logan Abbott) заявил, что вредоносные файлы не размещались напрямую на основном сайте платформы. По его словам, инцидент не был связан с взломом, а сам проект был удален почти сразу после обнаружения.
Сейчас введены дополнительные меры: владельцам проектов больше не разрешается размещать ссылки на внешние файлы или использовать перенаправления на подозрительные ресурсы.
Троян StilachiRAT
Ранее Microsoft выявила троян StilachiRAT, нацеленный на кражу криптовалютных данных через браузер Google Chrome. Вирус атакует как минимум 20 расширений криптокошельков, включая MetaMask, Coinbase Wallet, Trust Wallet, OKX Wallet, Bitget Wallet и Phantom.
StilachiRAT умеет:
- анализировать систему и активные RDP-сессии;
- извлекать конфигурации кошельков и доступы к ним;
- перехватывать сохраненные в браузере пароли;
- управлять зараженной системой через порты 53, 443 и 16000;
- отслеживать буфер обмена в поиске крипто адресов и паролей.
Киберпреступники маскируют атаки под легальные проекты
Эксперты Kaspersky подчеркивают, что кампания на SourceForge — пример того, как злоумышленники используют известные платформы для легитимации вредоносного ПО. Несмотря на редкость таких случаев, открытая модель публикации проектов создает для них пространство. Специалисты рекомендуют загружать ПО только с официальных каналов и всегда проверять скачанные файлы антивирусами.
Данный пост носит исключительно информационный характер и не является рекламой или инвестиционным советом. Пожалуйста, проводите собственное исследование, принимая какие-либо решения.