Hackare använder SourceForge för att sprida skadlig kod förklädd som Microsoft Office-verktyg

En storskalig skadlig programvara har utnyttjat SourceForge, ett pålitligt arkiv med öppen källkod, för att distribuera skadlig programvara som riktar sig mot krypto genom bedrägliga nedladdningar av kontorsprogram.

Mellan januari och mars har över 4 600 enheter – främst i Ryssland – äventyrats.

Attacken upptäcktes av Kaspersky, som publicerade detaljerade resultat den 8 april.

Angriparna använde SourceForges plattformsverktyg för att skapa en övertygande front för sin kampanj, och etablerade ett falskt projekt som efterliknade Microsoft Office-tillägg.

Bakom dess utvecklarvänliga utseende fungerade dock infrastrukturen som en startplatta för skadlig programvara.

Operationen kombinerade filobfuskering, lösenordsskydd och stora dummy-installatörer för att undvika upptäckt och upprätthålla persistens på infekterade system.

Över 4 600 enheter träffades

Forskare spårade kampanjen till en SourceForge-värd sida med namnet "officepackage", som imiterade Microsoft Office-tillägg som lyfts från GitHub.

När det väl publicerades fick projektet automatiskt sin egen underdomän-officepackage.sourceforge.io.

Den underdomänen indexerades sedan av sökmotorer som Yandex, vilket gjorde den lätt att upptäcka av intet ont anande användare som sökte efter kontorsprogram.

När användare besökte sidan möttes de av vad som verkade vara en legitim lista med nedladdningsbara kontorsverktyg.

Genom att klicka på länkarna omdirigerades de flera gånger innan ett litet zip-arkiv levererades.

När arkivet väl hade packats upp svällde det till ett 700 MB installationsprogram utformat för att lura användare och undvika antivirussökningar.

Falskt installationsprogram döljer skadlig programvara

Installationsprogrammet innehöll inbäddade skript som laddade ner ytterligare nyttolaster från GitHub.

Dessa nyttolaster inkluderade en gruvarbetare för kryptovaluta och en ClipBanker – skadlig programvara som kapar innehåll från urklipp för att omdirigera kryptotransaktioner till angriparkontrollerade plånböcker.

Innan du installerar skadlig programvara kontrollerar ett skript om det finns antivirusverktyg.

Om ingen hittas fortsätter nyttolasten att distribuera stödverktyg som AutoIt och Netcat.

Ett annat skript skickar enhetsinformation till en Telegram-bot som kontrolleras av hotaktörerna.

Denna information hjälper angripare att avgöra vilka infekterade system som är mest värdefulla eller lämpliga för återförsäljning på den mörka webben.

SourceForge används för leverans

Användningen av SourceForge som den första infektionsvektorn gav kampanjen en fördel i trovärdighet.

Känd för sin roll i att distribuera legitim programvara med öppen källkod, tillät SourceForge angriparna att kringgå många av de röda flaggorna som vanligtvis förknippas med skadliga nedladdningar.

Angriparnas användning av webbplatsens inbyggda projekt- och värdfunktioner innebar att skadlig programvara kunde maskera sig som en pålitlig applikation utan att kräva extern infrastruktur.

Kasperskys data indikerar att 90 % av infektionsförsöken kom från ryska användare.

Även om den initiala nyttolasten fokuserar på kryptostöld, varnade forskare för att komprometterade enheter kan återanvändas eller säljas till andra kriminella grupper för ytterligare utnyttjande.

Yandex och GitHub hjälp sprids

Kampanjens effektivitet förbättrades av indexeringen av SourceForge-underdomänen på Yandex, en av Rysslands största sökmotorer.

Detta ökade synligheten bland potentiella offer, särskilt de som söker efter produktivitetsprogram online.

Användningen av GitHub som en sekundär värdplats för nedladdning av skadlig programvara gjorde det möjligt för angriparna att underhålla och uppdatera nyttolasten med lätthet.

GitHubs utbredda rykte för säkerhet maskerade ytterligare operationens illvilliga avsikt.

Kaspersky har inte avslöjat identiteterna bakom kampanjen, och det finns inget som tyder på att SourceForge eller GitHub var medskyldiga.

Båda plattformarna verkar ha utnyttjats genom sina allmänt tillgängliga funktioner. Det är fortfarande oklart om det skadliga projektet sedan dess har tagits bort.