Bilgisayar korsanları, Microsoft Office araçları kılığında kripto para kötü amaçlı yazılımlarını yaymak için SourceForge'u kullanıyor

Büyük ölçekli bir kötü amaçlı yazılım operasyonu, aldatıcı ofis yazılımları indirmeleri yoluyla kripto hedefli kötü amaçlı yazılımları dağıtmak için güvenilir bir açık kaynaklı yazılım deposu olan SourceForge'u kullandı.

Ocak-Mart ayları arasında çoğunluğu Rusya'da olmak üzere 4.600'den fazla cihaz tehlikeye atıldı.

Saldırı, Kaspersky tarafından keşfedildi ve 8 Nisan'da detaylı bulgular yayımlandı.

Saldırganlar, kampanyaları için ikna edici bir cephe oluşturmak amacıyla SourceForge'un platform araçlarını kullandılar ve Microsoft Office eklentilerini taklit eden sahte bir proje oluşturdular.

Ancak geliştirici dostu görünümünün ardında, altyapının kötü amaçlı yazılımlar için bir fırlatma rampası görevi gördüğü ortaya çıktı.

İşlem, tespit edilmekten kaçınmak ve enfekte sistemlerde kalıcılığı sağlamak için dosya karartma, parola koruması ve büyük sahte yükleyicileri bir araya getirdi.

4.600'den fazla cihaz vuruldu

Araştırmacılar, kampanyanın GitHub'dan alınan Microsoft Office uzantılarını taklit eden "officepackage" adlı SourceForge tarafından barındırılan bir sayfaya dayandığını tespit etti.

Yayımlandıktan sonra proje otomatik olarak kendi alt alan adı olan-officepackage.sourceforge.io'yu aldı.

Bu alt alan adı daha sonra Yandex gibi arama motorları tarafından indekslendi ve ofis yazılımları arayan şüphelenmeyen kullanıcılar tarafından kolayca keşfedilebilir hale geldi.

Kullanıcılar sayfayı ziyaret ettiğinde, indirilebilir ofis araçlarının yer aldığı meşru bir listeyle karşılaşıyorlardı.

Bağlantılara tıklandığında, küçük bir zip arşivi sunulmadan önce birkaç kez yönlendirildiler.

Arşiv açıldığında, kullanıcıları kandırmak ve antivirüs taramalarından kaçınmak için tasarlanmış 700 MB'lık bir yükleyiciye dönüştü.

Sahte yükleyici kötü amaçlı yazılımları gizler

Yükleyici, GitHub'dan ek yükler indiren gömülü betikler içeriyordu.

Bu yükler arasında bir kripto para madencisi ve bir ClipBanker (panodaki içerikleri ele geçirerek kripto işlemlerini saldırganların kontrolündeki cüzdanlara yönlendiren kötü amaçlı yazılım) yer alıyordu.

Kötü amaçlı yazılımı yüklemeden önce, bir betik antivirüs araçlarının varlığını kontrol eder.

Hiçbiri bulunamazsa, yük AutoIt ve Netcat gibi destek yardımcı programlarını dağıtmaya devam eder.

Başka bir komut dosyası ise cihaz bilgilerini tehdit aktörlerinin kontrolündeki bir Telegram botuna gönderiyor.

Bu bilgi, saldırganların hangi enfekte sistemlerin karanlık web'de en değerli veya yeniden satışa uygun olduğunu belirlemesine yardımcı olur.

Teslimat için SourceForge kullanıldı

SourceForge'un ilk enfeksiyon vektörü olarak kullanılması kampanyaya güvenilirlik açısından bir avantaj sağladı.

Yasal açık kaynaklı yazılımların dağıtımındaki rolüyle bilinen SourceForge, saldırganların kötü amaçlı indirmelerle ilişkilendirilen birçok kırmızı bayrağı aşmasını sağladı.

Saldırganların sitenin yerleşik proje ve barındırma özelliklerini kullanması, kötü amaçlı yazılımın harici bir altyapıya ihtiyaç duymadan güvenilir bir uygulama gibi davranabilmesi anlamına geliyordu.

Kaspersky'nin verilerine göre virüs bulaştırma girişimlerinin yüzde 90'ı Rus kullanıcılardan geliyor.

İlk veriler kripto hırsızlığına odaklansa da araştırmacılar, ele geçirilen cihazların başka suç örgütlerine satılabileceği veya daha fazla istismar amacıyla kullanılabileceği konusunda uyardı.

Yandex ve GitHub yayılmaya yardımcı oluyor

Kampanyanın etkinliği, Rusya'nın en büyük arama motorlarından biri olan Yandex'te SourceForge alt alan adının indekslenmesiyle arttı.

Bu durum, potansiyel kurbanlar, özellikle de çevrimiçi üretkenlik yazılımı arayanlar arasında görünürlüğü artırdı.

GitHub'ın kötü amaçlı yazılım indirmeleri için ikincil barındırma konumu olarak kullanılması, saldırganların yükleri kolaylıkla sürdürmelerine ve güncellemelerine olanak sağladı.

GitHub'ın güvenlik konusundaki yaygın itibarı, operasyonun kötü niyetli niyetini daha da maskeledi.

Kaspersky, kampanyanın arkasındaki kimlikleri açıklamadı ve SourceForge veya GitHub'ın suç ortağı olduğuna dair herhangi bir belirti yok.

Her iki platform da herkese açık özellikleri aracılığıyla istismar edilmiş gibi görünüyor. Kötü amaçlı projenin o zamandan beri kaldırılıp kaldırılmadığı belirsizliğini koruyor.