Hackers usam o SourceForge para espalhar malware de criptomoedas disfarçado de ferramentas do Microsoft Office.

Uma operação de malware em grande escala explorou o SourceForge, um repositório confiável de software de código aberto, para distribuir malware direcionado a criptomoedas por meio de downloads enganosos de software de escritório.

Entre janeiro e março, mais de 4.600 dispositivos — principalmente na Rússia — foram comprometidos.

O ataque foi descoberto pela Kaspersky, que publicou descobertas detalhadas em 8 de abril.

Os atacantes utilizaram as ferramentas da plataforma SourceForge para criar uma fachada convincente para sua campanha, estabelecendo um projeto falso que imitava complementos do Microsoft Office.

Por trás de sua aparência amigável ao desenvolvedor, no entanto, a infraestrutura serviu como plataforma de lançamento para softwares maliciosos.

A operação combinou ofuscação de arquivos, proteção por senha e grandes instaladores falsos para evitar a detecção e manter a persistência em sistemas infectados.

Mais de 4.600 dispositivos atingidos.

Pesquisadores rastrearam a campanha até uma página hospedada no SourceForge chamada “officepackage”, que imitava extensões do Microsoft Office extraídas do GitHub.

Após a publicação, o projeto recebeu automaticamente seu próprio subdomínio: officepackage.sourceforge.io.

Esse subdomínio foi então indexado por mecanismos de busca como o Yandex, tornando-o facilmente descoberto por usuários desavisados que procuravam por software de escritório.

Quando os usuários visitavam a página, encontravam o que parecia ser uma lista legítima de ferramentas de escritório para download.

Clicar nos links os redirecionou várias vezes antes de entregar um pequeno arquivo zip.

Uma vez descompactado, o arquivo cresceu para um instalador de 700 MB projetado para enganar os usuários e burlar as verificações antivírus.

Instalador falso esconde malware

O instalador continha scripts embutidos que baixavam cargas adicionais do GitHub.

Essas cargas úteis incluíam um minerador de criptomoedas e um ClipBanker — um malware que sequestra o conteúdo da área de transferência para redirecionar transações de criptomoedas para carteiras controladas pelo atacante.

Antes de instalar o malware, um script verifica a presença de ferramentas antivírus.

Se nenhum for encontrado, a carga útil prossegue para implantar utilitários de suporte como AutoIt e Netcat.

Outro script envia informações do dispositivo para um bot do Telegram controlado pelos agentes maliciosos.

Essas informações ajudam os atacantes a determinar quais sistemas infectados são mais valiosos ou adequados para revenda na dark web.

SourceForge usado para entrega.

O uso do SourceForge como vetor inicial de infecção deu à campanha uma vantagem em termos de credibilidade.

Conhecido por seu papel na distribuição de software de código aberto legítimo, o SourceForge permitiu que os atacantes contornassem muitos dos sinais de alerta normalmente associados a downloads maliciosos.

O uso pelos atacantes dos recursos integrados de projeto e hospedagem do site permitiu que o malware se disfarçasse como um aplicativo confiável sem a necessidade de infraestrutura externa.

Os dados da Kaspersky indicam que 90% das tentativas de infecção vieram de usuários russos.

Embora a carga útil inicial se concentre no roubo de criptomoedas, os pesquisadores alertaram que os dispositivos comprometidos podem ser reaproveitados ou vendidos a outros grupos criminosos para exploração adicional.

Yandex e GitHub ajudam na disseminação.

A eficácia da campanha foi aumentada pela indexação do subdomínio SourceForge no Yandex, um dos maiores mecanismos de busca da Rússia.

Essa maior visibilidade entre as vítimas potenciais, particularmente aquelas que buscavam softwares de produtividade online.

O uso do GitHub como local de hospedagem secundário para downloads de malware permitiu que os atacantes mantivessem e atualizassem os payloads com facilidade.

A reputação generalizada do GitHub pela segurança mascarou ainda mais a intenção maliciosa da operação.

A Kaspersky não divulgou as identidades por trás da campanha, e não há indicação de que o SourceForge ou o GitHub tenham sido cúmplices.

Ambas as plataformas parecem ter sido exploradas por meio de suas funcionalidades publicamente disponíveis. Ainda não está claro se o projeto malicioso foi removido desde então.