Эксперты российской компании в сфере информационной безопасности, «Лаборатории Касперского», обнаружили, что злоумышленники распространяют майнер и троянец ClipBanker под видом офисных приложений Microsoft на платформе SourceForge. В России с этой вредоносной кампанией столкнулись уже больше 4600 пользователей.
Люди, которые искали в интернете на неофициальных ресурсах приложения Microsoft для ПК, могли увидеть проект, размещенный на одном из доменов сайта SourceForge, — sourceforge.io. На нем предлагалось скачать такие программы бесплатно. Если человек переходил по ссылке, на странице проекта он видел большой перечень популярных офисных приложений Microsoft, доступных для загрузки по кнопке. Однако на самом деле за ней была спрятана гиперссылка, ведущая на скачивание вредоносного архива.
Внутри архива содержалось два файла: еще один архив, защищенный паролем, и текстовый документ с паролем. Если человек распаковывал вложенный, защищенный паролем архив, то в результате цепочки загрузок на компьютер проникали две вредоносные программы. Первая — майнер, позволявший злоумышленникам использовать мощности заражённого ПК для майнинга криптовалюты. Вторая — ClipBanker — троянец, который подменял адреса криптокошельков для кражи криптовалюты. Приложений Microsoft при этом среди скачанных файлов не оказывалось.
Специалисты по кибербезопасности отмечают: несмотря на то что атака нацелена на кражу и майнинг криптовалюты, в дальнейшем злоумышленники могут продавать доступ к скомпрометированным устройствам или использовать его в других целях.
Олег Купреев, эксперт по кибербезопасности в ЛК, прокомментировал: «Авторы этой кампании воспользовались особенностью платформы SourceForge. Для проектов, созданных на sourceforge.net, автоматически выделяется дополнительное доменное имя и веб-хостинг на sourceforge.io. На sourceforge.net атакующие загрузили проект c дополнениями к офисным программам, которые не содержали вредоносный код, а уже на sourceforge.io разместили описания приложений Microsoft и вредоносную ссылку, ведущую на зараженный архив».
«Злоумышленники в целом все чаще используют в своих схемах облачные хранилища, репозитории, бесплатные хостинги — чтобы минимизировать затраты на инфраструктуру. К тому же на таких ресурсах им легче затеряться среди миллионов чистых файлов. Внутри второго, запароленного архива, находился файл весом более 700 мегабайт. Вероятно, такой внушительный размер должен был убедить человека в том, что перед ним действительно установщик ПО. На самом деле его создатели применили технику File Pumping и искусственно увеличили размер файла, дописав в его конец большое количество «мусора». В реальности файл весил всего 7 мегабайт», — добавил он.
Читайте больше на нашем Telegram-канале!
