Hackerii folosesc SourceForge pentru a răspândi malware criptografic deghizat în instrumente Microsoft Office

O operațiune de malware la scară largă a exploatat SourceForge, un depozit de software open-source de încredere, pentru a distribui malware de cripto-țintire prin descărcări înșelătoare de software de birou.

Între ianuarie și martie, peste 4.600 de dispozitive — în principal în Rusia — au fost compromise.

Atacul a fost descoperit de Kaspersky, care a publicat concluziile detaliate pe 8 aprilie.

Atacatorii au folosit instrumentele platformei SourceForge pentru a crea un front convingător pentru campania lor, stabilind un proiect fals care a imitat suplimentele Microsoft Office.

Cu toate acestea, în spatele aspectului său prietenos pentru dezvoltatori, infrastructura a servit drept rampă de lansare pentru software rău intenționat.

Operația a combinat ofuscarea fișierelor, protecția cu parolă și instalatorii mari falși pentru a evita detectarea și a menține persistența pe sistemele infectate.

Peste 4.600 de dispozitive lovite

Cercetătorii au urmărit campania la o pagină găzduită de SourceForge numită „pachet office”, care a imitat extensiile Microsoft Office preluate din GitHub.

Odată publicat, proiectul a primit automat propriul subdomeniu-officepackage.sourceforge.io.

Subdomeniul respectiv a fost apoi indexat de motoarele de căutare precum Yandex, făcându-l ușor de descoperit de utilizatorii nebănuiți care căutau software de birou.

Când utilizatorii au vizitat pagina, au fost întâlniți cu ceea ce părea a fi o listă legitimă de instrumente de birou descărcabile.

Făcând clic pe linkuri, le-a redirecționat de mai multe ori înainte de a livra o mică arhivă zip.

Odată dezarhivată, arhiva sa transformat într-un program de instalare de 700 MB conceput pentru a păcăli utilizatorii și a evita scanările antivirus.

Programul de instalare fals ascunde malware

Programul de instalare conținea scripturi încorporate care descărcau încărcături suplimentare din GitHub.

Aceste încărcături utile au inclus un miner de criptomonede și un ClipBanker – un program malware care deturnează conținutul clipboard-ului pentru a redirecționa tranzacțiile cripto către portofele controlate de atacatori.

Înainte de a instala malware-ul, un script verifică prezența instrumentelor antivirus.

Dacă nu se găsește niciunul, sarcina utilă continuă să implementeze utilități de asistență precum AutoIt și Netcat.

Un alt script trimite informații despre dispozitiv către un bot Telegram controlat de actorii amenințărilor.

Aceste informații îi ajută pe atacatori să determine care sisteme infectate sunt cele mai valoroase sau potrivite pentru revânzare pe dark web.

SourceForge folosit pentru livrare

Utilizarea SourceForge ca vector inițial de infecție a oferit campaniei un avantaj în credibilitate.

Cunoscut pentru rolul său în distribuirea software-ului open-source legitim, SourceForge a permis atacatorilor să ocolească multe dintre semnalele roșii asociate de obicei cu descărcările rău intenționate.

Utilizarea de către atacatori a proiectului și a caracteristicilor de găzduire încorporate ale site-ului a însemnat ca malware-ul ar putea să se mascheze ca o aplicație de încredere fără a necesita infrastructură externă.

Datele Kaspersky indică faptul că 90% dintre încercările de infectare au venit de la utilizatori ruși.

Deși sarcina utilă inițială se concentrează pe furtul cripto, cercetătorii au avertizat că dispozitivele compromise ar putea fi reutilizate sau vândute altor grupuri criminale pentru exploatare ulterioară.

Răspândirea ajutorului Yandex și GitHub

Eficacitatea campaniei a fost sporită de indexarea subdomeniului SourceForge pe Yandex, unul dintre cele mai mari motoare de căutare din Rusia.

Acest lucru a sporit vizibilitatea în rândul victimelor potențiale, în special a celor care caută software de productivitate online.

Utilizarea GitHub ca locație de găzduire secundară pentru descărcări de malware a permis atacatorilor să mențină și să actualizeze încărcăturile utile cu ușurință.

Reputația răspândită de siguranță a GitHub a mascat și mai mult intenția rău intenționată a operațiunii.

Kaspersky nu a dezvăluit identitățile din spatele campaniei și nu există nicio indicație că SourceForge sau GitHub ar fi complice.

Ambele platforme par să fi fost exploatate prin funcțiile lor disponibile public. Rămâne neclar dacă proiectul rău intenționat a fost eliminat de atunci.