Gli hacker utilizzano SourceForge per diffondere malware crittografici camuffati da strumenti di Microsoft Office.

Una vasta operazione di malware ha sfruttato SourceForge, un repository di software open-source affidabile, per distribuire malware mirati alle criptovalute tramite download ingannevoli di software per ufficio.

Tra gennaio e marzo, sono stati compromessi oltre 4.600 dispositivi, principalmente in Russia.

L’attacco è stato scoperto da Kaspersky, che ha pubblicato i risultati dettagliati l’8 aprile.

Gli aggressori hanno utilizzato gli strumenti della piattaforma SourceForge per creare una facciata convincente per la loro campagna, creando un progetto falso che imitava i componenti aggiuntivi di Microsoft Office.

Dietro la sua apparenza di infrastruttura amichevole per gli sviluppatori, tuttavia, si celava una piattaforma di lancio per software dannosi.

L’operazione combinava l’offuscamento dei file, la protezione con password e grandi programmi di installazione fittizi per evitare il rilevamento e mantenere la persistenza sui sistemi infetti.

Oltre 4.600 dispositivi hanno raggiunto…

I ricercatori hanno rintracciato la campagna a una pagina ospitata su SourceForge chiamata “officepackage”, che imitava le estensioni di Microsoft Office prelevate da GitHub.

Una volta pubblicato, il progetto ha automaticamente ricevuto il suo sottodominio: officepackage.sourceforge.io.

Quel sottodominio è stato poi indicizzato da motori di ricerca come Yandex, rendendolo facilmente individuabile dagli utenti ignari che cercavano software per ufficio.

Quando gli utenti visitavano la pagina, si trovavano di fronte a quello che sembrava un elenco legittimo di strumenti per ufficio scaricabili.

Cliccando sui link, sono stati reindirizzati diverse volte prima di ricevere un piccolo archivio zip.

Una volta decompresso, l’archivio si è gonfiato in un programma di installazione da 700 MB progettato per ingannare gli utenti ed eludere le scansioni antivirus.

Un falso programma di installazione nasconde un malware.

Il programma di installazione conteneva script incorporati che scaricavano payload aggiuntivi da GitHub.

Questi payload includevano un miner di criptovalute e un ClipBanker, un malware che dirotta il contenuto degli appunti per reindirizzare le transazioni di criptovalute a portafogli controllati dall’attaccante.

Prima di installare il malware, uno script verifica la presenza di strumenti antivirus.

Se non ne vengono trovati, il payload procede a distribuire utilità di supporto come AutoIt e Netcat.

Un altro script invia informazioni sul dispositivo a un bot Telegram controllato dagli autori della minaccia.

Queste informazioni aiutano gli aggressori a determinare quali sistemi infetti sono più preziosi o adatti alla rivendita sul dark web.

SourceForge utilizzato per la distribuzione.

L’utilizzo di SourceForge come vettore di infezione iniziale ha conferito alla campagna un vantaggio in termini di credibilità.

Noto per il suo ruolo nella distribuzione di software open-source legittimo, SourceForge ha permesso agli aggressori di aggirare molti dei segnali di allarme tipicamente associati ai download dannosi.

L’utilizzo da parte degli attaccanti delle funzionalità integrate di progetto e hosting del sito ha permesso al malware di camuffarsi da applicazione affidabile senza richiedere infrastrutture esterne.

I dati di Kaspersky indicano che il 90% dei tentativi di infezione proveniva da utenti russi.

Sebbene il carico utile iniziale si concentri sul furto di criptovalute, i ricercatori hanno avvertito che i dispositivi compromessi potrebbero essere riutilizzati o venduti ad altri gruppi criminali per ulteriori sfruttamenti.

Yandex e GitHub contribuiscono alla diffusione.

L’efficacia della campagna è stata potenziata dall’indicizzazione del sottodominio SourceForge su Yandex, uno dei più grandi motori di ricerca russi.

Questa maggiore visibilità ha raggiunto potenziali vittime, in particolare coloro che cercavano software di produttività online.

L’utilizzo di GitHub come sito di hosting secondario per il download di malware ha permesso agli attaccanti di mantenere e aggiornare i payload con facilità.

La diffusa reputazione di sicurezza di GitHub ha ulteriormente mascherato le intenzioni malevole dell’operazione.

Kaspersky non ha rivelato le identità dei responsabili della campagna e non ci sono indicazioni che SourceForge o GitHub siano stati complici.

Entrambe le piattaforme sembrano essere state sfruttate tramite le loro funzionalità pubblicamente disponibili. Non è ancora chiaro se il progetto dannoso sia stato rimosso.