Hackere bruker SourceForge til å spre crypto-malware forkledd som Microsoft Office-verktøy

En storstilt skadelig programvareoperasjon har utnyttet SourceForge, et pålitelig programvarelager med åpen kildekode, til å distribuere malware-målretting mot krypto gjennom villedende nedlasting av kontorprogramvare.

Mellom januar og mars ble over 4600 enheter – først og fremst i Russland – kompromittert.

Angrepet ble oppdaget av Kaspersky, som publiserte detaljerte funn 8. april.

Angriperne brukte SourceForges plattformverktøy for å skape en overbevisende front for kampanjen deres, og etablerte et falskt prosjekt som etterlignet Microsoft Office-tillegg.

Bak det utviklervennlige utseendet fungerte imidlertid infrastrukturen som et startpunkt for skadelig programvare.

Operasjonen kombinerte filobfuskering, passordbeskyttelse og store dummy-installatører for å unngå gjenkjenning og opprettholde utholdenhet på infiserte systemer.

Over 4600 enheter traff

Forskere sporet kampanjen til en SourceForge-vertsbasert side kalt "officepackage", som imiterte Microsoft Office-utvidelser løftet fra GitHub.

Når det ble publisert, mottok prosjektet automatisk sitt eget underdomene-officepackage.sourceforge.io.

Det underdomenet ble deretter indeksert av søkemotorer som Yandex, noe som gjorde det enkelt å oppdage av intetanende brukere som søkte etter kontorprogramvare.

Når brukere besøkte siden, ble de møtt med det som så ut til å være en legitim liste over nedlastbare kontorverktøy.

Ved å klikke på koblingene ble de omdirigert flere ganger før de leverte et lite zip-arkiv.

Etter at arkivet var pakket ut, ble det et 700 MB installasjonsprogram designet for å lure brukere og unngå antivirusskanninger.

Falsk installasjonsprogram skjuler skadelig programvare

Installasjonsprogrammet inneholdt innebygde skript som lastet ned ytterligere nyttelast fra GitHub.

Disse nyttelastene inkluderte en gruvearbeider for kryptovaluta og en ClipBanker – skadelig programvare som kaprer innhold på utklippstavlen for å omdirigere kryptotransaksjoner til angriperkontrollerte lommebøker.

Før du installerer skadelig programvare, sjekker ett skript om det finnes antivirusverktøy.

Hvis ingen blir funnet, fortsetter nyttelasten med å distribuere støtteverktøy som AutoIt og Netcat.

Et annet skript sender enhetsinformasjon til en Telegram-bot kontrollert av trusselaktørene.

Denne informasjonen hjelper angripere med å finne ut hvilke infiserte systemer som er mest verdifulle eller egnet for videresalg på det mørke nettet.

SourceForge brukes til levering

Bruken av SourceForge som den første infeksjonsvektoren ga kampanjen et forsprang i troverdighet.

Kjent for sin rolle i distribusjon av legitim åpen kildekode-programvare, tillot SourceForge angriperne å omgå mange av de røde flaggene som vanligvis er forbundet med ondsinnede nedlastinger.

Angripernes bruk av nettstedets innebygde prosjekt- og vertsfunksjoner betydde at skadevaren kunne maskere seg som en pålitelig applikasjon uten å kreve ekstern infrastruktur.

Kasperskys data indikerer at 90 % av infeksjonsforsøkene kom fra russiske brukere.

Selv om den første nyttelasten fokuserer på kryptotyveri, advarte forskere om at kompromitterte enheter kan bli gjenbrukt eller solgt til andre kriminelle grupper for videre utnyttelse.

Yandex og GitHub-hjelp spredte seg

Kampanjens effektivitet ble forbedret ved indeksering av SourceForge-underdomenet på Yandex, en av Russlands største søkemotorer.

Dette økte synligheten blant potensielle ofre, spesielt de som søker etter produktivitetsprogramvare på nettet.

Bruken av GitHub som et sekundært vertssted for nedlasting av skadelig programvare tillot angriperne å vedlikeholde og oppdatere nyttelastene med letthet.

GitHubs utbredte rykte for sikkerhet maskerte operasjonens ondsinnede hensikt ytterligere.

Kaspersky har ikke avslørt identiteten bak kampanjen, og det er ingen indikasjoner på at SourceForge eller GitHub var medskyldige.

Begge plattformene ser ut til å ha blitt utnyttet gjennom sine offentlig tilgjengelige funksjoner. Det er fortsatt uklart om det ondsinnede prosjektet siden har blitt fjernet.