Киберпреступники превратили платформу SourceForge в инструмент распространения троянизированных установщиков Microsoft Office, содержащих программы для скрытого майнинга, кражи криптовалют и персональных данных.
Исследователи «Лаборатории Касперского» сообщили в своем блоге о новом объекте атаки пользователей офисных приложений компании Microsoft. Основная цель — кража криптовалютных активов, скрытый майнинг на устройствах жертв и компрометация персональных данных.
По данным исследователей, злоумышленники создали поддельный проект officepackage на SourceForge, замаскированный под дополнения к офисным приложениям.
Основной площадкой атаки компьютеров жертв стал автоматически сгенерированный поддомен officepackage.sourceforge.io, который хорошо индексируется поисковыми системами, включая «Яндекс».
После перехода по ссылке пользователи видят поддельный список офисных приложений с кнопками загрузки, которые на самом деле запускают заражение вредоносным ПО.
Схема работает через цепочку перенаправлений: после скачивания zip-архива пользователи получают установщик объемом 700 МБ, который устанавливает криптомайнеры и программу ClipBanker для перехвата криптотранзакций. Вредоносное ПО использует скрытые скрипты, проверяя наличие антивирусов и отправляя данные о системе телеграм-боту.
С января по март эксперты Kaspersky зафиксировали более 4600 атак, 90% из которых пришлись на Россию.
Ранее эксперты компании Kaspersky сообщили об угрозе для владельцев смартфонов на операционной системе Android — модифицированной версии вируса-трояна Triada. Triada был впервые выявлен в 2016 году, но продолжает эволюционировать, становясь все более скрытным и опасным, предупредили специалисты по безопасности «Лаборатории Касперского».
