Эксперты «Лаборатории Касперского» обнаружили, что злоумышленники распространяют майнер и троянец ClipBanker под видом офисных приложений Microsoft на платформе SourceForge. В России с этой вредоносной кампанией столкнулись уже больше 4,6 тыс. пользователей (данные на основе анонимизированной статистики срабатывания решений «Лаборатории Касперского» с первого января по второе апреля 2025 г.). Об этом CNews сообщили представители «Лаборатории Касперского».
Люди, которые искали в интернете на неофициальных ресурсах приложения Microsoft для ПК, могли увидеть проект, размещенный на одном из доменов сайта SourceForge, — sourceforge.io. На нем предлагалось скачать такие программы бесплатно. Если человек переходил по ссылке, на странице проекта он видел большой перечень популярных офисных приложений Microsoft, доступных для загрузки по кнопке. Однако на самом деле за ней была спрятана гиперссылка, ведущая на скачивание вредоносного архива.
Внутри архива содержалось два файла: еще один архив, защищенный паролем, и текстовый документ с паролем. Если человек распаковывал вложенный, защищенный паролем архив, то в результате цепочки загрузок на компьютер проникали две вредоносные программы. Первая — майнер, позволявший злоумышленникам использовать мощности зараженного ПК для майнинга криптовалюты. Вторая — ClipBanker — троянец, который подменял адреса криптокошельков для кражи криптовалюты. Приложений Microsoft при этом среди скачанных файлов не оказывалось. Специалисты по кибербезопасности отмечают: несмотря на то что атака нацелена на кражу и майнинг криптовалюты, в дальнейшем злоумышленники могут продавать доступ к скомпрометированным устройствам или использовать его в других целях.
«Авторы этой кампании воспользовались особенностью платформы SourceForge. Для проектов, созданных на sourceforge.net, автоматически выделяется дополнительное доменное имя и веб-хостинг на sourceforge.io. На sourceforge.net атакующие загрузили проект c дополнениями к офисным программам, которые не содержали вредоносный код, а уже на sourceforge.io разместили описания приложений Microsoft и вредоносную ссылку, ведущую на заражённый архив. Злоумышленники в целом все чаще используют в своих схемах облачные хранилища, репозитории, бесплатные хостинги — чтобы минимизировать затраты на инфраструктуру. К тому же на таких ресурсах им легче затеряться среди миллионов чистых файлов, — сказал Олег Купреев, эксперт по кибербезопасности в «Лаборатории Касперского». — Внутри второго, запароленного архива, находился файл весом более 700 Мб. Вероятно, такой внушительный размер должен был убедить человека в том, что перед ним действительно установщик ПО. На самом деле его создатели применили технику File Pumping и искусственно увеличили размер файла, дописав в его конец большое количество "мусора“. В реальности файл весил всего семь Мб».
Для защиты от подобных угроз эксперты по кибербезопасности рекомендуют пользователям: скачивать программы только из официальных источников: магазинов приложений или с сайтов компаний-разработчиков; использовать надежное защитное решение.
Поделиться
