Хакеры распространяют майнер и троян под видом Microsoft Office через SourceForge — более 4600 атак только в России, сообщает Kaspersky
Под видом офисных приложений Microsoft, злоумышленники распространяют майнер и троян ClipBanker через популярную площадку SourceForge.
Только в России с атакой столкнулись более 4600 пользователей, сообщают в «Лаборатории Касперского».
Маскировка под легитимный софт
Атака начинается с поддельной страницы на домене sourceforge.io, где предлагается скачать «бесплатные» версии офисных программ Microsoft. Внешне — обычный проект SourceForge. Но вместо ПО человек получает вредоносный архив.
Внутри защищённый паролем архив и текстовый файл с этим паролем. Если пользователь его открывает, на компьютер загружается два вредоносных компонента: скрытый майнер и троян ClipBanker.
Первый тихо использует ресурсы ПК для добычи криптовалюты, второй подменяет адреса криптокошельков, крадя переводы.
Почему это сработало
Хакеры использовали особенность платформы: при создании проекта на sourceforge.net автоматически появляется поддомен sourceforge.io, где можно разместить любые данные.
Реструктуризация команды, подводные ДЦ и фэнтези о лисах. Ретроперспектива недели с Евгением Антоновымtproger.ru
На sourceforge.net они загрузили безвредные «дополнения к офисным программам», а на sourceforge.io — страницу с ложными описаниями и вредоносной ссылкой.
Дополнительно они применили технику File Pumping: вредоносный файл весил свыше 700 МБ, но реально содержал всего 7 МБ полезной нагрузки — остальное было «мусором» для маскировки. Цель — создать впечатление, будто это настоящий установщик Microsoft Office.
Как защититься
Специалисты «Лаборатории Касперского» рекомендуют:
- скачивать софт только с официальных сайтов и магазинов приложений;
- использовать антивирус с актуальными базами.