Los hackers utilizan SourceForge para propagar malware de criptomonedas disfrazado de herramientas de Microsoft Office.

Una operación de malware a gran escala ha explotado SourceForge, un repositorio de software de código abierto de confianza, para distribuir malware dirigido a criptomonedas a través de descargas engañosas de software de oficina.

Entre enero y marzo, más de 4.600 dispositivos —principalmente en Rusia— fueron comprometidos.

El ataque fue descubierto por Kaspersky, que publicó hallazgos detallados el 8 de abril.

Los atacantes utilizaron las herramientas de la plataforma SourceForge para crear una fachada convincente para su campaña, estableciendo un proyecto falso que imitaba los complementos de Microsoft Office.

Sin embargo, tras su apariencia amigable para desarrolladores, la infraestructura sirvió como plataforma de lanzamiento para software malicioso.

La operación combinó la ofuscación de archivos, la protección con contraseña y grandes instaladores ficticios para evitar la detección y mantener la persistencia en los sistemas infectados.

Más de 4.600 dispositivos alcanzaron...

Los investigadores rastrearon la campaña hasta una página alojada en SourceForge llamada “officepackage”, que imitaba extensiones de Microsoft Office extraídas de GitHub.

Una vez publicado, el proyecto recibió automáticamente su propio subdominio: officepackage.sourceforge.io.

Ese subdominio fue entonces indexado por motores de búsqueda como Yandex, lo que lo hizo fácilmente detectable por usuarios desprevenidos que buscaban software de oficina.

Cuando los usuarios visitaban la página, se encontraban con lo que parecía ser una lista legítima de herramientas ofimáticas descargables.

Al hacer clic en los enlaces, fueron redirigidos varias veces antes de recibir un pequeño archivo zip.

Una vez descomprimido, el archivo se expandió hasta convertirse en un instalador de 700 MB diseñado para engañar a los usuarios y evadir los análisis antivirus.

El instalador falso oculta malware.

El instalador contenía scripts incrustados que descargaban cargas útiles adicionales de GitHub.

Estas cargas útiles incluían un minero de criptomonedas y un ClipBanker, un malware que secuestra el contenido del portapapeles para redirigir las transacciones de criptomonedas a billeteras controladas por el atacante.

Antes de instalar el malware, un script comprueba la presencia de herramientas antivirus.

Si no se encuentra ninguno, la carga útil procede a desplegar utilidades de soporte como AutoIt y Netcat.

Otro script envía información del dispositivo a un bot de Telegram controlado por los actores de la amenaza.

Esta información ayuda a los atacantes a determinar qué sistemas infectados son más valiosos o adecuados para su reventa en la dark web.

SourceForge se utilizó para la entrega.

El uso de SourceForge como vector de infección inicial le dio a la campaña una ventaja en credibilidad.

Conocido por su papel en la distribución de software de código abierto legítimo, SourceForge permitió a los atacantes eludir muchas de las señales de alerta que suelen asociarse con las descargas maliciosas.

El uso por parte de los atacantes de las funciones integradas de proyecto y alojamiento del sitio significó que el malware podía hacerse pasar por una aplicación fiable sin necesidad de infraestructura externa.

Los datos de Kaspersky indican que el 90% de los intentos de infección procedían de usuarios rusos.

Aunque la carga útil inicial se centra en el robo de criptomonedas, los investigadores advirtieron que los dispositivos comprometidos podrían reutilizarse o venderse a otros grupos criminales para su posterior explotación.

Yandex y GitHub ayudan a la difusión.

La eficacia de la campaña se vio reforzada por la indexación del subdominio de SourceForge en Yandex, uno de los motores de búsqueda más grandes de Rusia.

Esta mayor visibilidad entre las víctimas potenciales, particularmente aquellas que buscaban software de productividad en línea.

El uso de GitHub como ubicación de alojamiento secundaria para las descargas de malware permitió a los atacantes mantener y actualizar las cargas útiles con facilidad.

La extendida reputación de seguridad de GitHub ocultó aún más la intención maliciosa de la operación.

Kaspersky no ha revelado las identidades detrás de la campaña, y no hay indicios de que SourceForge o GitHub hayan sido cómplices.

Ambas plataformas parecen haber sido explotadas a través de sus funciones disponibles públicamente. Sigue sin estar claro si el proyecto malicioso ha sido eliminado desde entonces.