Hackere bruger SourceForge til at sprede krypto-malware forklædt som Microsoft Office-værktøjer

En storstilet malware-operation har udnyttet SourceForge, et betroet open source-softwarelager, til at distribuere crypto-målrettet malware gennem vildledende download af kontorsoftware.

Mellem januar og marts blev over 4.600 enheder – primært i Rusland – kompromitteret.

Angrebet blev opdaget af Kaspersky, som offentliggjorde detaljerede resultater den 8. april.

Angriberne brugte SourceForges platformværktøjer til at skabe en overbevisende front for deres kampagne og etablerede et falsk projekt, der efterlignede Microsoft Office-tilføjelser.

Bag dens udviklervenlige udseende fungerede infrastrukturen dog som en startplads for ondsindet software.

Operationen kombinerede filobfuskation, adgangskodebeskyttelse og store dummy-installatører for at undgå registrering og opretholde persistens på inficerede systemer.

Over 4.600 enheder ramte

Forskere sporede kampagnen til en SourceForge-hostet side med navnet “officepackage”, som efterlignede Microsoft Office-udvidelser løftet fra GitHub.

Efter publicering modtog projektet automatisk sit eget underdomæne-officepackage.sourceforge.io.

Dette underdomæne blev derefter indekseret af søgemaskiner som Yandex, hvilket gjorde det nemt at finde af intetanende brugere, der søgte efter kontorsoftware.

Når brugere besøgte siden, blev de mødt med, hvad der så ud til at være en legitim liste over kontorværktøjer, der kunne downloades.

Ved at klikke på linkene blev de omdirigeret flere gange, før de leverede et lille zip-arkiv.

Når arkivet var pakket ud, blev det til et 700 MB installationsprogram designet til at narre brugere og undgå antivirusscanninger.

Falsk installationsprogram skjuler malware

Installationsprogrammet indeholdt indlejrede scripts, der downloadede yderligere nyttelast fra GitHub.

Disse nyttelaster inkluderede en cryptocurrency-minearbejder og en ClipBanker – malware, der kaprer klippebordets indhold for at omdirigere kryptotransaktioner til hackerkontrollerede tegnebøger.

Før du installerer malwaren, tjekker et script for tilstedeværelsen af ​​antivirusværktøjer.

Hvis ingen findes, fortsætter nyttelasten med at implementere supportværktøjer som AutoIt og Netcat.

Et andet script sender enhedsoplysninger til en Telegram-bot kontrolleret af trusselsaktørerne.

Disse oplysninger hjælper angribere med at bestemme, hvilke inficerede systemer der er mest værdifulde eller egnede til videresalg på det mørke web.

SourceForge brugt til levering

Brugen af ​​SourceForge som den indledende infektionsvektor gav kampagnen en fordel med hensyn til troværdighed.

Kendt for sin rolle i distributionen af ​​legitim open source-software, tillod SourceForge angriberne at omgå mange af de røde flag, der typisk er forbundet med ondsindede downloads.

Angribernes brug af webstedets indbyggede projekt- og hostingfunktioner betød, at malware kunne udgive sig som en pålidelig applikation uden at kræve ekstern infrastruktur.

Kasperskys data indikerer, at 90 % af infektionsforsøg kom fra russiske brugere.

Selvom den indledende nyttelast fokuserer på kryptotyveri, advarede forskere om, at kompromitterede enheder kunne blive genbrugt eller solgt til andre kriminelle grupper for yderligere udnyttelse.

Yandex og GitHub-hjælp spredes

Kampagnens effektivitet blev forbedret af indekseringen af ​​SourceForge-underdomænet på Yandex, en af ​​Ruslands største søgemaskiner.

Dette øgede synlighed blandt potentielle ofre, især dem, der søger efter produktivitetssoftware online.

Brugen af ​​GitHub som en sekundær hostingplacering til malware-downloads gjorde det muligt for angriberne at vedligeholde og opdatere nyttelasterne med lethed.

GitHubs udbredte ry for sikkerhed maskerede yderligere operationens ondsindede hensigt.

Kaspersky har ikke afsløret identiteten bag kampagnen, og der er ingen indikation af, at SourceForge eller GitHub var medskyldige.

Begge platforme ser ud til at være blevet udnyttet gennem deres offentligt tilgængelige funktioner. Det er stadig uklart, om det ondsindede projekt siden er blevet fjernet.