Hacker nutzen SourceForge, um als Microsoft Office-Tools getarnte Krypto-Malware zu verbreiten.

Eine groß angelegte Malware-Operation hat SourceForge, ein vertrauenswürdiges Open-Source-Software-Repository, ausgenutzt, um durch irreführende Downloads von Office-Software Malware zu verbreiten, die auf Kryptowährungen abzielt.

Zwischen Januar und März wurden über 4.600 Geräte – hauptsächlich in Russland – kompromittiert.

Der Angriff wurde von Kaspersky entdeckt, das am 8. April detaillierte Ergebnisse veröffentlichte.

Die Angreifer nutzten die Plattformtools von SourceForge, um eine überzeugende Fassade für ihre Kampagne zu schaffen und ein gefälschtes Projekt zu etablieren, das Microsoft Office-Add-ons nachahmte.

Hinter seinem entwicklerfreundlichen Äußeren verbarg sich jedoch eine Infrastruktur, die als Startrampe für Schadsoftware diente.

Die Operation kombinierte Dateiverschleierung, Passwortschutz und große Dummy-Installationsprogramme, um die Erkennung zu vermeiden und die Persistenz auf infizierten Systemen aufrechtzuerhalten.

Über 4.600 Geräte wurden getroffen.

Die Forscher verfolgten die Kampagne zurück zu einer auf SourceForge gehosteten Seite namens „officepackage“, die Microsoft Office-Erweiterungen imitierte, die von GitHub kopiert wurden.

Nach der Veröffentlichung erhielt das Projekt automatisch seine eigene Subdomain: officepackage.sourceforge.io.

Diese Subdomain wurde dann von Suchmaschinen wie Yandex indexiert, wodurch sie für ahnungslose Nutzer, die nach Bürosoftware suchten, leicht auffindbar war.

Als die Nutzer die Seite besuchten, sahen sie eine scheinbar legitime Liste herunterladbarer Office-Tools.

Durch Klicken auf die Links wurden sie mehrmals umgeleitet, bevor eine kleine ZIP-Datei heruntergeladen wurde.

Nach dem Entpacken wuchs das Archiv auf eine 700 MB große Installationsdatei an, die Benutzer täuschen und Antiviren-Scans umgehen sollte.

Gefälschter Installer verbirgt Malware

Das Installationsprogramm enthielt eingebettete Skripte, die zusätzliche Nutzdaten von GitHub herunterluden.

Diese Nutzlasten umfassten einen Kryptowährungs-Miner und einen ClipBanker – eine Malware, die den Inhalt der Zwischenablage abfängt, um Krypto-Transaktionen auf von Angreifern kontrollierte Wallets umzuleiten.

Vor der Installation der Malware prüft ein Skript das Vorhandensein von Antivirenprogrammen.

Werden keine gefunden, fährt die Nutzlast mit der Bereitstellung von Hilfsprogrammen wie AutoIt und Netcat fort.

Ein weiteres Skript sendet Geräteinformationen an einen Telegram-Bot, der von den Bedrohungsakteuren gesteuert wird.

Diese Informationen helfen Angreifern, zu bestimmen, welche infizierten Systeme am wertvollsten oder am besten für den Weiterverkauf im Darknet geeignet sind.

SourceForge wurde für die Auslieferung verwendet.

Die Verwendung von SourceForge als anfänglicher Infektionsvektor verlieh der Kampagne einen Glaubwürdigkeitsvorsprung.

SourceForge, bekannt für seine Rolle bei der Verbreitung legitimer Open-Source-Software, ermöglichte es den Angreifern, viele der typischen Warnsignale bei bösartigen Downloads zu umgehen.

Die Angreifer nutzten die integrierten Projekt- und Hosting-Funktionen der Website, wodurch die Malware sich als vertrauenswürdige Anwendung ausgeben konnte, ohne externe Infrastruktur zu benötigen.

Kasperskys Daten zeigen, dass 90 % der Infektionsversuche von russischen Nutzern ausgingen.

Obwohl die anfängliche Nutzlast auf Kryptodiebstahl abzielt, warnten die Forscher davor, dass kompromittierte Geräte umfunktioniert oder an andere kriminelle Gruppen zum weiteren Missbrauch verkauft werden könnten.

Yandex und GitHub helfen bei der Verbreitung.

Die Effektivität der Kampagne wurde durch die Indexierung der SourceForge-Subdomain bei Yandex, einer der größten Suchmaschinen Russlands, gesteigert.

Diese erhöhte Sichtbarkeit unter potenziellen Opfern, insbesondere solchen, die online nach Produktivitätssoftware suchten.

Die Nutzung von GitHub als sekundärer Hosting-Standort für Malware-Downloads ermöglichte es den Angreifern, die Nutzlasten einfach zu pflegen und zu aktualisieren.

GitHubs weit verbreiteter Ruf für Sicherheit verschleierte die bösartigen Absichten der Operation zusätzlich.

Kaspersky hat die Identitäten der Verantwortlichen hinter der Kampagne nicht offengelegt, und es gibt keine Anzeichen dafür, dass SourceForge oder GitHub beteiligt waren.

Beide Plattformen scheinen über ihre öffentlich zugänglichen Funktionen ausgenutzt worden zu sein. Es bleibt unklar, ob das schädliche Projekt inzwischen entfernt wurde.