Penggodam menggunakan SourceForge untuk menyebarkan perisian hasad crypto yang menyamar sebagai alat Microsoft Office

Operasi perisian hasad berskala besar telah mengeksploitasi SourceForge, repositori perisian sumber terbuka yang dipercayai, untuk mengedarkan perisian hasad penyasaran kripto melalui muat turun perisian pejabat yang mengelirukan.

Antara Januari dan Mac, lebih 4,600 peranti—terutamanya di Rusia—telah terjejas.

Serangan itu ditemui oleh Kaspersky, yang menerbitkan penemuan terperinci pada 8 April.

Penyerang menggunakan alat platform SourceForge untuk mencipta barisan yang meyakinkan untuk kempen mereka, mewujudkan projek palsu yang meniru alat tambah Microsoft Office.

Di sebalik penampilan mesra pembangunnya, bagaimanapun, infrastruktur berfungsi sebagai pad pelancaran untuk perisian berniat jahat.

Operasi ini menggabungkan pengeliruan fail, perlindungan kata laluan dan pemasang tiruan yang besar untuk mengelakkan pengesanan dan mengekalkan kegigihan pada sistem yang dijangkiti.

Lebih 4,600 peranti dipukul

Penyelidik mengesan kempen ke halaman yang dihoskan SourceForge bernama “officepackage”, yang meniru sambungan Microsoft Office yang dialih keluar daripada GitHub.

Setelah diterbitkan, projek itu secara automatik menerima subdomain-officepackage.sourceforge.io sendiri.

Subdomain itu kemudiannya diindeks oleh enjin carian seperti Yandex, menjadikannya mudah ditemui oleh pengguna yang tidak curiga yang mencari perisian pejabat.

Apabila pengguna melawat halaman tersebut, mereka bertemu dengan senarai yang sah bagi alatan pejabat yang boleh dimuat turun.

Mengklik pautan mengubah halanya beberapa kali sebelum menghantar arkib zip kecil.

Setelah dibuka zip, arkib itu berkembang menjadi pemasang 700MB yang direka untuk menipu pengguna dan mengelakkan imbasan antivirus.

Pemasang palsu menyembunyikan perisian hasad

Pemasang mengandungi skrip terbenam yang memuat turun muatan tambahan daripada GitHub.

Muatan ini termasuk pelombong mata wang kripto dan ClipBanker—perisian hasad yang merampas kandungan papan keratan untuk mengubah hala urus niaga crypto ke dompet dikawal penyerang.

Sebelum memasang perisian hasad, satu skrip menyemak kehadiran alat antivirus.

Jika tiada yang ditemui, muatan meneruskan untuk menggunakan utiliti sokongan seperti AutoIt dan Netcat.

Skrip lain menghantar maklumat peranti ke bot Telegram yang dikawal oleh pelaku ancaman.

Maklumat ini membantu penyerang menentukan sistem yang dijangkiti yang paling berharga atau sesuai untuk dijual semula di web gelap.

SourceForge digunakan untuk penghantaran

Penggunaan SourceForge sebagai vektor jangkitan awal memberikan kempen kelebihan dalam kredibiliti.

Dikenali dengan peranannya dalam mengedarkan perisian sumber terbuka yang sah, SourceForge membenarkan penyerang memintas banyak bendera merah yang biasanya dikaitkan dengan muat turun berniat jahat.

Penggunaan projek terbina dalam tapak dan ciri pengehosan oleh penyerang bermakna perisian hasad boleh menyamar sebagai aplikasi yang boleh dipercayai tanpa memerlukan infrastruktur luaran.

Data Kaspersky menunjukkan bahawa 90% percubaan jangkitan datang daripada pengguna Rusia.

Walaupun muatan awal memfokuskan pada kecurian kripto, para penyelidik memberi amaran bahawa peranti yang dikompromi boleh digunakan semula atau dijual kepada kumpulan jenayah lain untuk eksploitasi selanjutnya.

Penyebaran bantuan Yandex dan GitHub

Keberkesanan kempen telah dipertingkatkan dengan pengindeksan subdomain SourceForge pada Yandex, salah satu enjin carian terbesar di Rusia.

Ini meningkatkan keterlihatan di kalangan bakal mangsa, terutamanya mereka yang mencari perisian produktiviti dalam talian.

Penggunaan GitHub sebagai lokasi pengehosan kedua untuk muat turun perisian hasad membolehkan penyerang mengekalkan dan mengemas kini muatan dengan mudah.

Reputasi meluas GitHub untuk keselamatan menutup lagi niat jahat operasi itu.

Kaspersky tidak mendedahkan identiti di sebalik kempen itu, dan tidak ada tanda bahawa SourceForge atau GitHub terlibat.

Kedua-dua platform nampaknya telah dieksploitasi melalui ciri mereka yang tersedia secara umum. Ia masih tidak jelas sama ada projek berniat jahat itu telah dialih keluar.