يستخدم المتسللون SourceForge لنشر برامج ضارة للعملات المشفرة متخفية في شكل أدوات Microsoft Office
- مشروع "officepackage" المزيف يحاكي أدوات Microsoft Office.
- يستخدم المثبت البرامج النصية للتحقق من برامج مكافحة الفيروسات وإرسال البيانات عبر Telegram.
- تتضمن الحمولة ClipBanker وأدوات التعدين المشفرة.
استغلت عملية برمجيات خبيثة واسعة النطاق موقع SourceForge، وهو مستودع برمجيات مفتوح المصدر موثوق، لتوزيع برمجيات خبيثة تستهدف العملات المشفرة من خلال تنزيلات برامج مكتبية خادعة.
بين شهري يناير ومارس، تم اختراق أكثر من 4600 جهاز – معظمها في روسيا.
تم اكتشاف الهجوم من قبل شركة كاسبرسكي ، التي نشرت نتائج مفصلة في 8 أبريل.
استخدم المهاجمون أدوات منصة SourceForge لإنشاء واجهة مقنعة لحملتهم، من خلال إنشاء مشروع مزيف يحاكي إضافات Microsoft Office.
لكن على الرغم من مظهرها الصديق للمطورين، كانت البنية الأساسية بمثابة منصة إطلاق للبرامج الضارة.
تجمع العملية بين تشويش الملفات وحماية كلمة المرور ومثبتات وهمية كبيرة الحجم لتجنب الاكتشاف والحفاظ على الثبات على الأنظمة المصابة.
تم إصابة أكثر من 4600 جهاز
Copy link to sectionتمكن الباحثون من تتبع الحملة إلى صفحة مستضافة على SourceForge تسمى “officepackage”، والتي تحاكي ملحقات Microsoft Office المأخوذة من GitHub.
بمجرد النشر، حصل المشروع تلقائيًا على المجال الفرعي الخاص به -officepackage.sourceforge.io.
تم بعد ذلك فهرسة هذا المجال الفرعي بواسطة محركات البحث مثل Yandex، مما يجعله قابلاً للاكتشاف بسهولة من قبل المستخدمين غير المنتبهين الذين يبحثون عن برامج المكتب.
عندما زار المستخدمون الصفحة، واجهوا ما يبدو أنه قائمة شرعية لأدوات المكتب القابلة للتنزيل.
الضغط على الروابط أدى إلى إعادة توجيهها عدة مرات قبل تسليم أرشيف مضغوط صغير.
بمجرد فك الضغط، تحول الأرشيف إلى برنامج تثبيت بحجم 700 ميجابايت مصمم لخداع المستخدمين والتهرب من عمليات فحص مكافحة الفيروسات.
مثبت مزيف يخفي البرامج الضارة
Copy link to sectionيحتوي المثبت على نصوص مضمنة تقوم بتنزيل حمولات إضافية من GitHub.
وشملت هذه الحمولات أداة تعدين العملات المشفرة وClipBanker، وهو برنامج خبيث يختطف محتويات الحافظة لإعادة توجيه معاملات العملات المشفرة إلى محافظ يتحكم فيها المهاجمون.
قبل تثبيت البرامج الضارة، يقوم برنامج نصي واحد بالتحقق من وجود أدوات مكافحة الفيروسات.
إذا لم يتم العثور على أي منها، تنتقل الحمولة إلى نشر أدوات الدعم مثل AutoIt وNetcat.
يرسل نص برمجي آخر معلومات الجهاز إلى روبوت Telegram الذي يتحكم فيه الجناة.
تساعد هذه المعلومات المهاجمين على تحديد الأنظمة المصابة الأكثر قيمة أو المناسبة لإعادة البيع على الويب المظلم.
SourceForge المستخدم للتسليم
Copy link to sectionلقد أعطى استخدام SourceForge باعتباره ناقل العدوى الأولي للحملة ميزة في المصداقية.
تشتهر SourceForge بدورها في توزيع البرامج مفتوحة المصدر المشروعة، حيث سمحت للمهاجمين بتجاوز العديد من العلامات الحمراء المرتبطة عادةً بالتنزيلات الضارة.
إن استخدام المهاجمين للميزات المضمنة للمشروع والاستضافة في الموقع يعني أن البرامج الضارة يمكن أن تتخفى في صورة تطبيق جدير بالثقة دون الحاجة إلى بنية أساسية خارجية.
تشير بيانات كاسبرسكي إلى أن 90% من محاولات الإصابة جاءت من مستخدمين روس.
وعلى الرغم من أن الحمولة الأولية تركز على سرقة العملات المشفرة، حذر الباحثون من أن الأجهزة المخترقة يمكن إعادة استخدامها أو بيعها لمجموعات إجرامية أخرى لمزيد من الاستغلال.
ياندكس وجيت هب يساعدان في الانتشار
Copy link to sectionوتم تعزيز فعالية الحملة من خلال فهرسة المجال الفرعي SourceForge على Yandex، أحد أكبر محركات البحث في روسيا.
وقد أدى هذا إلى زيادة الرؤية بين الضحايا المحتملين، وخاصة أولئك الذين يبحثون عن برامج الإنتاجية عبر الإنترنت.
لقد سمح استخدام GitHub كموقع استضافة ثانوي لتنزيلات البرامج الضارة للمهاجمين بالحفاظ على الحمولات وتحديثها بسهولة.
إن السمعة الواسعة النطاق التي اكتسبتها GitHub فيما يتعلق بالسلامة قد أخفت النية الخبيثة وراء العملية.
ولم تكشف شركة كاسبرسكي عن هويات الأشخاص الذين يقفون وراء الحملة، كما لا يوجد ما يشير إلى تورط SourceForge أو GitHub.
يبدو أن كلا المنصتين قد استُغِلَّتا من خلال ميزاتهما المتاحة للعامة. ولا يزال من غير الواضح ما إذا كان المشروع الخبيث قد أُزيل منذ ذلك الحين.
تمت ترجمة هذا المقال من اللغة الإنجليزية بمساعدة أدوات الذكاء الاصطناعي، ثم تمت مراجعته وتحريره بواسطة مترجم محلي.
More industry news
