Новая кампания вредоносного ПО использует проекты SourceForge для кражи криптовалюты и шпионажа за пользователями

Новая кампания по распространению вредоносного ПО направлена на пользователей через SourceForge, авторитетный сайт, известный своими проектами с открытым исходным кодом.

Исследователи из Kaspersky обнаружили схему, в рамках которой злоумышленники используют поддельный проект для обмана людей и заставления их скачать вредоносные файлы, маскирующиеся под офисные инструменты.

Фальшивый проект под названием «officepackage» выглядит безобидно на странице SourceForge. К тому же, он копирует свое описание из реального проекта дополнений для Microsoft Office на GitHub. Однако связанный домен officepackage.sourceforge.io указывает на совершенно другой сайт, который перечисляет фальшивые офисные приложения с кнопками «Скачать».

Исследователи объясняют, что страницы индексируются поисковыми системами, поэтому они выглядят законными в результатах поиска. Но вместо полезного программного обеспечения, пользователи попадают в запутанный лабиринт страниц для скачивания, которые в конечном итоге устанавливают вредоносное программное обеспечение на их компьютеры.

Загруженный файл под названием vinstaller.zip содержит скрытые инструменты, включая архив с парольной защитой и установщик Windows, который выглядит большим и легитимным, но на самом деле наполнен мусорными данными для обмана пользователей. При запуске он в секрете выполняет скрипт, который загружает файлы с GitHub, извлекает вредоносные компоненты и начинает шпионить за устройством.

Один из скрытых скриптов отправляет детали устройства жертвы атакующим через Telegram. Это включает в себя IP-адрес компьютера, имя пользователя, антивирусное программное обеспечение и даже имя процессора.

Вредоносное ПО делает две основные вещи: во-первых, оно устанавливает майнер криптовалюты, который тихо использует ресурсы компьютера для создания цифровых денег для злоумышленников.

Во-вторых, оно устанавливает тип вредоносного ПО, называемого ClipBanker, который ждет, когда пользователи скопируют и вставят адреса кошельков криптовалюты. Когда они это делают, он заменяет адрес кошелька на адрес, принадлежащий злоумышленнику, перенаправляя средства к ним.

Вредоносное ПО использует несколько методов для того, чтобы оставаться в системе и автоматически перезагружаться даже после перезагрузки. Оно прячется в системных папках, добавляет специальные реестровые ключи, создает поддельные службы Windows и даже захватывает инструменты обновления системы.

Для обеспечения своей безопасности эксперты настоятельно рекомендуют загружать программное обеспечение только из официальных источников, поскольку пиратские или неофициальные загрузки всегда несут в себе больший риск заражения.