هکرها از SourceForge برای پنهان کردن معادن رمزنگاری در بستههای Microsoft Office بهره میبرند
مجرمان سایبری از دامنههای پروژهای SourceForge استفاده میکنند تا نصبکنندههای Office مخدوششدهای را که با ابزارهای استخراج رمزنگاری و دزدیدن کلیپبورد تزریق شدهاند، پخش کنند. یک کمپین بدافزاری تازه کشف شده، زیرساخت SourceForge را به سکوی پرتابی برای ابتلا به ویروس تبدیل کرده و از ابزارهای مناسب توسعهدهندگان این پلتفرم برای فریب کاربران و ترغیب به دانلود نرمافزارهای مخرب رمزنگاری بهره میبرد.
به گزارش محققان شرکت Kaspersky، این طرح به طور خاص کاربران مرتبط با ارزهای دیجیتال را هدف قرار میدهد؛ بدافزارها به صورتی جعل شده به دانلودهای مرتبط با Office ارائه میشوند و شامل نصبکنندههای بیش از حد حجیم، آرشیوهای محافظتشده با رمز عبور و لایههای ابهامرسانی هستند که در نهایت یک معدنگر رمزنگاری و ClipBanker جهت دزدیدن تراکنشهای رمزارزی را عرضه میکنند.
در یک پست وبلاگی منتشر شده در روز سهشنبه ۸ آوریل، محققان اعلام کردند که حملهکنندگان یک پروژه جعلی تحت عنوان «officepackage» در SourceForge راهاندازی کردهاند که به گونهای طراحی شده تا شبیه به افزودنیهای Microsoft Office کپی شده از GitHub به نظر برسد. اگرچه صفحه اصلی پروژه ممکن است عادی به نظر برسد، تله اصلی زیردامنه خودکار تولیدشده «officepackage.sourceforge.io» است که موتورهای جستجو مانند یاندکس روسیه آن را شناسایی کردند. کاربران با مراجعه به این صفحه فهرستی جعلی از برنامههای Office به همراه دکمههای دانلود را مشاهده میکردند که در واقع آغازگر فرآیند عفونت بدافزار بودند.
کلیک روی دکمههای دانلود جعلی کاربران را از طریق چندین ریدایرکت هدایت میکند تا در نهایت یک فایل زیپ کوچک دریافت شود. اما پس از استخراج این فایل، نصبکنندهای ۷۰۰ مگابایتی ایجاد میشود. زمانی که نصبکننده اجرا میشود، از اسکریپتهای پنهانی برای دریافت فایلهای بیشتر از GitHub بهره میبرد و بدافزاری را استخراج میکند که پیش از اجرا برای وجود ابزارهای ضدویروس بررسی میشود.
در صورت نبود تهدید، این نصبکننده ابزارهایی مانند AutoIt و Netcat را نصب میکند. یکی از اسکریپتها اطلاعات سیستم را به یک ربات Telegram ارسال میکند، در حالی که اسکریپت دیگری تضمین میکند بدافزار استخراج رمزنگاری در سیستم باقی بماند. Kaspersky اعلام کرده است که ۹۰٪ از کاربران آسیبدیده به نظر میرسد در روسیه قرار دارند و بیش از ۴۶۰۰ رخداد بین ژانویه تا مارس ثبت شده است. اگرچه هدف اصلی این کمپین سرقت وجوه رمزارزی است، محققان هشدار دادهاند که دستگاههای آلوده ممکن است بعدها به عاملان تهدید دیگر فروخته شوند.