Masked Hackers

Hakkerit käyttävät SourceForgea Microsoft Office -työkaluiksi naamioitujen kryptohaittaohjelmien levittämiseen

Written by
Translated by
Written on Apr 9, 2025
Reading time 3 minutes
  • Fake "toimistopaketti" -projekti jäljitteli Microsoft Office -työkaluja.
  • Asennusohjelma käytti komentosarjoja virustentorjunnan tarkistamiseen ja tietojen lähettämiseen Telegramin kautta.
  • Hyötykuorma sisälsi ClipBankerin ja krypto-louhintatyökalut.

Laajamittainen haittaohjelmaoperaatio on hyödyntänyt SourceForgea, luotettavaa avoimen lähdekoodin ohjelmistovarastoa, levittääkseen salaukseen kohdistettuja haittaohjelmia petollisten toimistoohjelmistolatausten kautta.

Tammi-maaliskuussa yli 4 600 laitetta vaarantui pääasiassa Venäjällä.

Hyökkäyksen havaitsi Kaspersky, joka julkaisi yksityiskohtaiset havainnot 8. huhtikuuta.

Hyökkääjät käyttivät SourceForgen alustatyökaluja luodakseen vakuuttavan rintaman kampanjalleen ja loivat väärennetyn projektin, joka matki Microsoft Office -lisäosia.

Kehittäjäystävällisen ulkonäön takana infrastruktuuri toimi kuitenkin haittaohjelmien käynnistysalustana.

Toiminto yhdisti tiedostojen hämärtymisen, salasanasuojauksen ja suuret valeasennusohjelmat tartunnan saaneiden järjestelmien havaitsemisen välttämiseksi ja pysyvyyden ylläpitämiseksi.

Yli 4 600 laitetta osui

Copy link to section

Tutkijat jäljittelivät kampanjan SourceForgen isännöimälle sivulle nimeltä “officepackage”, joka jäljitteli GitHubista poistettuja Microsoft Office -laajennuksia.

Kun projekti on julkaistu, se sai automaattisesti oman aliverkkotunnuksen-officepackage.sourceforge.io.

Yandexin kaltaiset hakukoneet indeksoivat tämän aliverkkotunnuksen, mikä teki sen helposti toimistoohjelmistoja etsivien käyttäjien havaittavissa.

Kun käyttäjät vierailivat sivulla, he kohtasivat luettelon ladattavista toimistotyökaluista, jotka näyttivät olevan laillinen.

Linkkien napsauttaminen ohjasi ne useita kertoja ennen pienen zip-arkiston toimittamista.

Kun arkisto oli purettu, se muuttui 700 Mt:n asennusohjelmaksi, joka oli suunniteltu huijaamaan käyttäjiä ja välttämään virustarkistuksia.

Fake asennusohjelma piilottaa haittaohjelmat

Copy link to section

Asennusohjelma sisälsi upotettuja komentosarjoja, jotka latasivat lisää hyötykuormia GitHubista.

Näihin hyötykuormiin sisältyivät kryptovaluutan louhinta ja ClipBanker – haittaohjelma, joka kaappaa leikepöydän sisällön ohjatakseen kryptotapahtumat hyökkääjien ohjaamiin lompakoihin.

Ennen haittaohjelman asentamista yksi komentosarja tarkistaa virustentorjuntatyökalujen olemassaolon.

Jos niitä ei löydy, hyötykuorma etenee tukiapuohjelmien, kuten AutoIt ja Netcat, käyttöönottoon.

Toinen komentosarja lähettää laitetiedot Telegram-botille, jota uhkatekijät hallitsevat.

Nämä tiedot auttavat hyökkääjiä määrittämään, mitkä tartunnan saaneet järjestelmät ovat arvokkaimpia tai sopivat jälleenmyyntiin pimeässä verkossa.

Toimitukseen käytetty SourceForge

Copy link to section

SourceForgen käyttö alkuperäisenä tartuntavektorina lisäsi kampanjan uskottavuutta.

SourceForge, joka tunnetaan roolistaan ​​laillisten avoimen lähdekoodin ohjelmistojen levittämisessä, antoi hyökkääjille mahdollisuuden ohittaa monet haitallisiin latauksiin tyypillisesti liittyvät punaiset liput.

Hyökkääjien sivuston sisäänrakennetun projektin ja isännöintiominaisuuksien käyttö tarkoitti, että haittaohjelma saattoi naamioitua luotettavaksi sovellukseksi ilman ulkoista infrastruktuuria.

Kasperskyn tietojen mukaan 90 % tartuntayrityksistä tuli venäläisiltä käyttäjiltä.

Vaikka alkuperäinen hyötykuorma keskittyy kryptovarkauksiin, tutkijat varoittivat, että vaarantuneet laitteet voidaan käyttää uudelleen tai myydä muille rikollisryhmille jatkokäyttöä varten.

Yandexin ja GitHubin tuki levisi

Copy link to section

Kampanjan tehokkuutta paransi SourceForge-aliverkkotunnuksen indeksointi Yandexissa, joka on yksi Venäjän suurimmista hakukoneista.

Tämä lisäsi näkyvyyttä mahdollisten uhrien keskuudessa, erityisesti niiden, jotka etsivät tuottavuusohjelmistoja verkosta.

GitHubin käyttö toissijaisena isännöintipaikkana haittaohjelmien latauksille antoi hyökkääjille mahdollisuuden ylläpitää ja päivittää hyötykuormia helposti.

GitHubin laajalle levinnyt turvallisuuden maine peitti entisestään operaation ilkeä tarkoitus.

Kaspersky ei ole paljastanut kampanjan taustalla olevia henkilöitä, eikä ole viitteitä siitä, että SourceForge tai GitHub olisivat olleet osallisia.

Molempia alustoja näyttää olevan hyödynnetty niiden julkisesti saatavilla olevien ominaisuuksien kautta. On edelleen epäselvää, onko haitallinen projekti sittemmin poistettu.

Tämä artikkeli on käännetty englannista tekoälytyökalujen avulla, minkä jälkeen paikallinen kääntäjä on oikolukenut ja muokannut sen.

Maailman

Aiheeseen liittyvät julkaisut

More industry news

DXY: Yhdysvaltain dollarin indeksinäkymät, jos Trump irtisanoo Fedin Jerome Powellin
April 18, 2025
Brasilian Petrobras leikkaa dieselin hintoja vastauksena raakaöljyn hintojen laskuun
April 17, 2025
IMF:n johtaja varoittaa talouden epävarmuudesta Yhdysvaltojen, Kiinan ja EU:n välisten kauppajännitteiden keskellä
April 17, 2025
Kryptohinnat tänään: BTC jumissa alle 85 000 dollarin, XRP laski 1,4 %
April 17, 2025
SovEcon nostaa vuoden 2025 Venäjän vehnäntuotannon ennusteita paremman talven selviytymisen vuoksi
April 17, 2025
Näin 1,4 miljardin dollarin Bybit-ryöstön takana olevat pohjoiskorealaiset hakkerit iskevät kryptokehittäjiin
April 17, 2025
OPEC+ pysyy hallinnassa huolimatta kysynnän heikkenemisestä ja Yhdysvaltojen ja Kiinan välisistä tariffijännitteistä
April 17, 2025
Yhdysvaltain pörssit avautuvat sekaisesti: S&P 500, Nasdaq tuumaa korkeammalla, Dow putoaa 400 pistettä
April 17, 2025