Hackers gebruiken SourceForge om cryptomalware te verspreiden die vermomd is als Microsoft Office-tools.

Een grootschalige malware-operatie heeft SourceForge, een betrouwbare open-source software repository, misbruikt om crypto-gerichte malware te verspreiden via misleidende downloads van kantoorsoftware.

Tussen januari en maart werden meer dan 4600 apparaten gehackt, voornamelijk in Rusland.

De aanval werd ontdekt door Kaspersky, dat op 8 april gedetailleerde bevindingen publiceerde.

De aanvallers gebruikten de platformtools van SourceForge om een overtuigende façade voor hun campagne te creëren, door een nep-project op te zetten dat Microsoft Office-add-ons nabootste.

Achter het ontwikkelaarsvriendelijke uiterlijk schuilde echter een infrastructuur die als lanceerplatform diende voor kwaadaardige software.

De operatie combineerde bestandsversluiering, wachtwoordbeveiliging en grote nep-installatieprogramma's om detectie te voorkomen en persistentie op geïnfecteerde systemen te behouden.

Meer dan 4600 apparaten werden getroffen.

Onderzoekers herleidden de campagne naar een pagina op SourceForge met de naam “officepackage”, die Microsoft Office-extensies imiteerde die van GitHub waren gehaald.

Na publicatie kreeg het project automatisch een eigen subdomein: officepackage.sourceforge.io.

Dat subdomein werd vervolgens geïndexeerd door zoekmachines zoals Yandex, waardoor het gemakkelijk vindbaar was voor nietsvermoedende gebruikers die op zoek waren naar kantoorsoftware.

Toen gebruikers de pagina bezochten, kregen ze een lijst te zien die eruitzag als een legitieme lijst met downloadbare kantoortools.

Door op de links te klikken werden ze meerdere keren doorverwezen voordat een klein zip-archief werd gedownload.

Na het uitpakken zwol het archief op tot een 700 MB groot installatieprogramma dat was ontworpen om gebruikers te misleiden en antivirusscans te omzeilen.

Nepinstallatieprogramma verbergt malware

Het installatieprogramma bevatte ingebedde scripts die extra payloads van GitHub downloaden.

Deze payloads omvatten een cryptocurrency-miner en een ClipBanker – malware die de inhoud van het klembord kaapt om cryptotransacties om te leiden naar door de aanvaller gecontroleerde wallets.

Voordat de malware wordt geïnstalleerd, controleert een script op de aanwezigheid van antivirusprogramma's.

Als er geen worden gevonden, gaat de payload verder met het implementeren van ondersteunende hulpprogramma's zoals AutoIt en Netcat.

Een ander script stuurt apparaatinformatie naar een Telegram-bot die wordt beheerd door de dreigingsactoren.

Deze informatie helpt aanvallers te bepalen welke geïnfecteerde systemen het meest waardevol of geschikt zijn voor doorverkoop op het dark web.

SourceForge gebruikt voor de levering.

Het gebruik van SourceForge als eerste infectievector gaf de campagne een geloofwaardigheidsvoorsprong.

SourceForge, bekend om zijn rol in de distributie van legitieme open-source software, stelde de aanvallers in staat om veel van de waarschuwingssignalen die normaal gesproken met kwaadaardige downloads gepaard gaan, te omzeilen.

Door gebruik te maken van de ingebouwde project- en hostingfuncties van de site konden de aanvallers de malware vermommen als een betrouwbare applicatie zonder externe infrastructuur nodig te hebben.

Uit gegevens van Kaspersky blijkt dat 90% van de infectiepogingen afkomstig was van Russische gebruikers.

Hoewel de initiële payload zich richt op cryptodiefstal, waarschuwden onderzoekers dat gecompromitteerde apparaten opnieuw kunnen worden ingezet of verkocht aan andere criminele groepen voor verdere uitbuiting.

Yandex en GitHub helpen bij de verspreiding.

De effectiviteit van de campagne werd versterkt door de indexering van het SourceForge-subdomein op Yandex, een van de grootste zoekmachines van Rusland.

Deze verhoogde zichtbaarheid onder potentiële slachtoffers, met name onder degenen die online op zoek waren naar productiviteitssoftware.

Het gebruik van GitHub als secundaire hostinglocatie voor malware-downloads stelde de aanvallers in staat om de payloads eenvoudig te onderhouden en bij te werken.

De wijdverbreide reputatie van GitHub voor veiligheid maskeerde de kwaadaardige intentie van de operatie verder.

Kaspersky heeft de identiteiten achter de campagne niet bekendgemaakt, en er zijn geen aanwijzingen dat SourceForge of GitHub medeplichtig waren.

Beide platforms lijken te zijn misbruikt via hun openbaar toegankelijke functies. Het is onduidelijk of het kwaadaardige project inmiddels is verwijderd.