Cyberprzestępcy przekształcili platformę SourceForge w narzędzie służące do rozpowszechniania zainfekowanych instalatorów pakietu Microsoft Office, zawierających programy do ukrytego wydobywania kryptowalut, kradzieży kryptowalut i danych osobowych.
Badacze z Kaspersky Lab poinformowali na swoim blogu o nowym celu ataków na użytkowników aplikacji pakietu Microsoft Office. Głównym celem jest kradzież aktywów kryptowalutowych, ukryte wydobywanie kryptowaluty na urządzeniach ofiar i naruszenie danych osobowych.
Według badaczy, atakujący stworzyli fałszywy projekt pakietu biurowego na SourceForge, który miał przypominać dodatki do aplikacji biurowych.
Główną platformą atakującą komputery ofiar była automatycznie generowana subdomena officepackage.sourceforge.io, która jest dobrze indeksowana przez wyszukiwarki, w tym Yandex.
Po kliknięciu linku użytkownicy widzą fałszywą listę aplikacji biurowych z przyciskami pobierania, które w rzeczywistości uruchamiają infekcję złośliwym oprogramowaniem.
Schemat działa poprzez łańcuch przekierowań: po pobraniu archiwum zip użytkownicy otrzymują instalator o rozmiarze 700 MB, który instaluje kryptokoparki i program ClipBanker służący do przechwytywania transakcji kryptowalutowych. Szkodliwe oprogramowanie wykorzystuje ukryte skrypty do sprawdzania programów antywirusowych i wysyłania danych systemowych do bota Telegram.
Od stycznia do marca eksperci firmy Kaspersky odnotowali ponad 4600 ataków, z czego 90% miało miejsce w Rosji.
Wcześniej eksperci z firmy Kaspersky informowali o zagrożeniu dla posiadaczy smartfonów z systemem operacyjnym Android – zmodyfikowanej wersji wirusa trojańskiego Triada. Badacze ds. bezpieczeństwa z Kaspersky Lab ostrzegają, że Triada została po raz pierwszy zidentyfikowana w 2016 r., ale wciąż ewoluuje, stając się coraz bardziej ukrytą i niebezpieczną grupą.
Источник: bits.media
