Μια νέα καμπάνια κυβερνοεπιθέσεων εκμεταλλεύεται την πλατφόρμα SourceForge για τη διανομή κακόβουλων εργαλείων που προσποιούνται ότι είναι Microsoft Office add-ins, με σκοπό την εγκατάσταση malware που κλέβει ή εξορύσσει κρυπτονομίσματα.
Πώς λειτουργεί η καμπάνια
Η κακόβουλη ενέργεια εντοπίστηκε από την Kaspersky και έχει ήδη επηρεάσει τουλάχιστον 4.600 συστήματα, κυρίως στη Ρωσία. Οι κυβερνοεγκληματίες δημιούργησαν ένα ψεύτικο project στο SourceForge με την ονομασία “officepackage”, παρουσιάζοντάς το ως εργαλείο για ανάπτυξη Office add-ins. Το περιεχόμενο του project ήταν σχεδόν πανομοιότυπο με το νόμιμο project της Microsoft “Office-Addin-Scripts” στο GitHub.
Μέσω της δυνατότητας web hosting που παρέχει το SourceForge στους δημιουργούς project, οι επιτιθέμενοι δημιούργησαν μια ξεχωριστή ιστοσελίδα (officepackage.sourceforge.io) που έμοιαζε με νόμιμο ιστότοπο εργαλείων για προγραμματιστές. Όταν οι χρήστες έκαναν κλικ σε κουμπιά “Download”, λάμβαναν ένα αρχείο ZIP που περιείχε έναν κωδικοποιημένο installer.
Ο installer ήταν αρχείο MSI μεγέθους περίπου 700MB — τεχνική που χρησιμοποιείται συχνά για την παράκαμψη antivirus σαρώσεων. Κατά την εκτέλεσή του, το αρχείο εγκαθιστά διάφορα components και εκτελεί ένα VBScript, το οποίο μέσω GitHub κατεβάζει scripts που επιτρέπουν:
- Έλεγχο αν το σύστημα είναι εικονικό ή έχει ενεργή προστασία
- Καθιέρωση persistence μέσω του registry και services
- Εγκατάσταση κακόβουλων DLLs που ενεργούν ως cryptocurrency miner και clipper
Τι περιλαμβάνει το malware
Το RAR αρχείο που γίνεται extract περιέχει:
- AutoIT interpreter (Input.exe)
- Netcat reverse shell tool (ShellExperienceHost.exe)
- Icon.dll και Kape.dll: Το πρώτο είναι miner που χρησιμοποιεί την υπολογιστική ισχύ του χρήστη για mining. Το δεύτερο είναι clipper που εντοπίζει αντιγραμμένες διευθύνσεις κρυπτονομισμάτων και τις αντικαθιστά με αυτές του επιτιθέμενου.
Επιπλέον, μέσω του Telegram API, το σύστημα στέλνει πληροφορίες στον επιτιθέμενο και μπορεί να λάβει επιπλέον κακόβουλα payloads.
Τι μπορούν να κάνουν οι χρήστες
Οι ειδικοί προτείνουν:
- Να κατεβάζετε εργαλεία μόνο από επίσημες πηγές, όπως το GitHub της Microsoft
- Να αποφεύγετε άγνωστους ιστότοπους, ακόμα κι αν φαίνονται επαγγελματικοί
- Να σαρώνονται όλα τα αρχεία με ενημερωμένο antivirus πριν την εκτέλεση
Η ευκολία με την οποία ένας επιτιθέμενος μπορεί να εκμεταλλευτεί το web hosting εργαλείο ενός αξιόπιστου domain, όπως έγινε εδώ, δείχνει ότι η προσοχή και η ενημέρωση είναι το πρώτο και βασικότερο μέτρο κυβερνοπροστασίας.
Πηγές: BleepingComputer, CyberPress
