Nowa Kampania Malware Wykorzystuje Projekty SourceForge do Kradzieży Krypto i Śledzenia Użytkowników

Nowa kampania złośliwego oprogramowania atakuje użytkowników za pośrednictwem SourceForge, zaufanej strony znanej z hostingu projektów oprogramowania open-source.

Badacze z Kaspersky odkryli schemat, w którym atakujący wykorzystują fałszywy projekt, aby skłonić ludzi do pobierania złośliwych plików pod przykrywką narzędzi biurowych.

Sztuczny projekt, nazwany „officepackage”, wydaje się nieszkodliwy na stronie SourceForge. Dodatkowo, kopiuje swój opis z prawdziwego projektu dodatków do Microsoft Office na GitHubie. Jednak powiązana domena officepackage.sourceforge.io wskazuje na zupełnie inną stronę, która wykazuje fałszywe aplikacje biurowe z przyciskami „Pobierz”.

Badacze wyjaśniają, że strony te są indeksowane przez wyszukiwarki, więc wyglądają na prawdziwe w wynikach wyszukiwania. Ale zamiast użytecznego oprogramowania, użytkownicy są prowadzeni przez mylący labirynt stron do pobierania, które ostatecznie instalują złośliwe oprogramowanie na ich komputerach.

Pobrany plik o nazwie vinstaller.zip zawiera ukryte narzędzia, w tym archiwum chronione hasłem oraz Instalator Windows, który wygląda na duży i prawdziwy, ale w rzeczywistości jest wypełniony śmieciowymi danymi, aby zwieść użytkowników. Kiedy uruchomiony, w tajemnicy uruchamia skrypt, który pobiera pliki z GitHuba, wyodrębnia szkodliwe komponenty i zaczyna szpiegować urządzenie.

Jeden z ukrytych skryptów wysyła dane urządzenia ofiary do atakujących za pośrednictwem Telegrama. Obejmuje to adres IP komputera, nazwę użytkownika, oprogramowanie antywirusowe, a nawet nazwę procesora CPU.

Malware robi dwie główne rzeczy: po pierwsze, instaluje koparkę kryptowalut, która cicho wykorzystuje zasoby komputera do generowania cyfrowych pieniędzy dla atakujących.

Po drugie, instaluje typ malware o nazwie ClipBanker, który czeka, aż użytkownicy skopiują i wkleją adresy portfeli kryptowalut. Gdy to zrobią, zastępuje adres portfela adresem należącym do atakującego, przekierowując fundusze na jego rzecz.

Oprogramowanie szkodliwe korzysta z kilku metod, aby utrzymać się w systemie i automatycznie uruchamiać ponownie nawet po ponownym uruchomieniu komputera. Ukrywa się w folderach systemowych, dodaje specjalne klucze rejestru, tworzy fałszywe usługi Windowsa, a nawet przejmuje narzędzia aktualizacji systemu.

Aby zachować bezpieczeństwo, eksperci zdecydowanie zalecają pobieranie oprogramowania wyłącznie z oficjalnych źródeł, ponieważ pirackie lub nieoficjalne pobieranie zawsze wiąże się z wyższym ryzykiem zakażenia.