Hakerzy wykorzystują SourceForge do rozpowszechniania złośliwego oprogramowania kryptograficznego, maskując je jako narzędzia Microsoft Office.

Na dużą skalę przeprowadzona operacja złośliwego oprogramowania wykorzystała SourceForge, zaufane repozytorium oprogramowania open-source, do dystrybucji złośliwego oprogramowania atakującego kryptowaluty za pośrednictwem podstępnych pobrań oprogramowania biurowego.

Między styczniem a marcem zhakowano ponad 4600 urządzeń – głównie w Rosji.

Atak został wykryty przez firmę Kaspersky, która opublikowała szczegółowe wyniki 8 kwietnia.

Napastnicy wykorzystali narzędzia platformy SourceForge, aby stworzyć przekonującą fasadę dla swojej kampanii, zakładając fałszywy projekt, który naśladował dodatki do pakietu Microsoft Office.

Mimo przyjaznego dla programistów wyglądu, infrastruktura ta służyła jako platforma startowa dla złośliwego oprogramowania.

Operacja łączyła w sobie maskowanie plików, ochronę hasłem i duże, fałszywe instalatory, aby uniknąć wykrycia i utrzymać się w zainfekowanych systemach.

Ponad 4600 urządzeń zostało dotkniętych problemem.

Badacze powiązali kampanię ze stroną hostowaną na SourceForge o nazwie „officepackage”, która imitowała rozszerzenia Microsoft Office pobrane z GitHub.

Po opublikowaniu projekt automatycznie otrzymał własną subdomenę: officepackage.sourceforge.io.

Ta poddomena została następnie zindeksowana przez wyszukiwarki takie jak Yandex, dzięki czemu była łatwo dostępna dla niczego niepodejrzewających użytkowników szukających oprogramowania biurowego.

Gdy użytkownicy odwiedzali stronę, wyświetlała im się lista, która wyglądała na legalny zbiór narzędzi biurowych do pobrania.

Kliknięcie linków przekierowywało ich kilkakrotnie, zanim ostatecznie pobrali małe archiwum ZIP.

Po rozpakowaniu archiwum rozrosło się do 700-megabajtowego instalatora, zaprojektowanego tak, aby oszukiwać użytkowników i unikać skanowania antywirusowego.

Fałszywy instalator ukrywa złośliwe oprogramowanie.

Instalator zawierał wbudowane skrypty, które pobierały dodatkowe ładunki z GitHub.

Wśród tych ładunków znajdował się kopacz kryptowalut i ClipBanker — złośliwe oprogramowanie, które przechwytuje zawartość schowka, aby przekierowywać transakcje kryptowalutowe na kontrolowane przez atakującego portfele.

Przed instalacją złośliwego oprogramowania jeden skrypt sprawdza obecność narzędzi antywirusowych.

Jeśli żadne nie zostaną znalezione, ładunek przejdzie do wdrożenia narzędzi pomocniczych, takich jak AutoIt i Netcat.

Inny skrypt wysyła informacje o urządzeniu do bota Telegrama kontrolowanego przez cyberprzestępców.

Te informacje pomagają atakującym określić, które zainfekowane systemy są najcenniejsze lub najbardziej odpowiednie do odsprzedaży w darknecie.

SourceForge używany do dystrybucji.

Wykorzystanie SourceForge jako początkowego wektora infekcji nadało kampanii wiarygodności.

Znany ze swojej roli w dystrybucji legalnego oprogramowania open-source, SourceForge pozwolił atakującym ominąć wiele sygnałów ostrzegawczych zazwyczaj kojarzonych ze złośliwymi pobraniami.

Wykorzystanie przez napastników wbudowanych funkcji projektu i hostingu witryny pozwoliło złośliwemu oprogramowaniu podszywać się pod zaufaną aplikację bez konieczności korzystania z zewnętrznej infrastruktury.

Dane Kaspersky’ego wskazują, że 90% prób infekcji pochodziło od rosyjskich użytkowników.

Chociaż początkowy ładunek skupia się na kradzieży kryptowalut, badacze ostrzegli, że zainfekowane urządzenia mogą zostać wykorzystane ponownie lub sprzedane innym grupom przestępczym w celu dalszej eksploatacji.

Yandex i GitHub pomagają w rozpowszechnianiu

Skuteczność kampanii wzrosła dzięki indeksowaniu poddomeny SourceForge przez Yandex, jedną z największych rosyjskich wyszukiwarek.

Zwiększona widoczność wśród potencjalnych ofiar, zwłaszcza tych, które szukały oprogramowania zwiększającego produktywność w internecie.

Wykorzystanie GitHub jako dodatkowego miejsca hostingu do pobierania złośliwego oprogramowania pozwoliło atakującym na łatwe utrzymywanie i aktualizowanie ładunków.

Powszechnie znana reputacja GitHubu jako bezpiecznej platformy dodatkowo maskowała złośliwe zamiary operacji.

Kaspersky nie ujawnił tożsamości osób stojących za kampanią i nie ma żadnych dowodów na to, że SourceForge lub GitHub były w nią zamieszane.

Wydaje się, że obie platformy zostały wykorzystane za pośrednictwem ich publicznie dostępnych funkcji. Nie wiadomo, czy złośliwy projekt został już usunięty.