Поделиться
Знаменитый хостинг ПО SourceForge под видом пиратского MS Office раздает трояны и криптомайнеры. Под ударом российские пользователи
Злоумышленники использовали популярный хостинг ПО в качестве прикрытия для своей кампании. Ее целью стали российские пользователи, искавшие пиратские копии Microsoft Office.
Проектная деятельность
Популярный хостинг программного обеспечения SourceForge стараниями хакеров стал очередным каналом распространения вредоносного ПО. Под видом взломанных версий легитимных дистрибутивов, таких как Microsoft Office, недобросовестным пользователям загружаются криптомайнеры, а также вредонос ClipBanker.
Как выяснили специалисты «Лаборатории Касперского», вредоносное содержимое, на самом деле, хостится совсем в другом месте. Sourceforge используется лишь как фасад.
«...Немногие знают, что для проектов, созданных на sourceforge.net, выделяется также дополнительное доменное имя и веб-хостинг на sourceforge.io. Подобные страницы хорошо индексируются поисковыми движками и присутствуют в их выдаче», - указывается в публикации «Лаборатории».
Проект officepackage, если открывать его по основной ссылке выводил посетителям список программных дополнений к Microsoft Office, скопированный из стороннего репозитория GitHub.
А вот по ссылке officepackage.sourceforge[.]io все выглядело совершенно иначе.
«Вместо описания с GitHub на странице находится внушительный список офисных приложений с указанием версий и кнопками «Скачать»... Если навести мышь на такую кнопку, то в статусной строке браузера подсветится внушающий доверие URL-адрес https[:]//loading.sourceforge[.]io/download. Его можно по ошибке отнести к officepackage, ведь кнопки расположены в этом проекте. Однако имя домена loading.sourceforge.io говорит о том, что на sourceforge.net был создан другой проект, loading», - отметили исследователи.
При переходе по указанной ссылке происходит перенаправление на страницу с еще одной кнопкой «Скачать», теперь уже на английском языке.
При нажатии на эту кнопку скачивается крошечный архив vinstaller.zip размером чуть больше 7 мегабайт. Это уже может вызывать подозрения, поскольку офисные дистрибутивы такими маленькими не бывают. С другой стороны, для установки некоторых видеоигр используются отдельные инсталляторы, которые скачивают потом основное содержимое.
Но - не в этом случае. Из архива извлекается файл installer.msi размером... 700 мегабайт. Размер раздут искусственно с помощью метода File Pumping, когда в конец файла дописывается большое количество мусора, как, на примере данного случая, нулевых байтов.
Длинная цепочка заражений
Как пишут исследователи, при запуске инсталлятор создает на диске несколько файлов, в числе которых консольный распаковщик UnRAR.exe и запароленный архив 51654.rar. Вслед за этим выполняется встроенный VB-скрипт, который запускает интерпретатор PowerShell с командой на скачивание BATCH-файла confvk с GitHub и его выполнение. Именно в этом файле содержится пароль от RAR-архива. Он же занимается распаковкой вредоносных файлов, проверкой среды исполнения на предмет признаков виртуализации или предшествующих заражений, и запускает скрипты следующего этапа.
Далее следует длинная вереница дополнительных операций, связанных с установкой дополнительных компонентов и скриптов, изменениями в системном реестре для обеспечения постоянства присутствия и т.д.
Конечным этапом является установка двух AutoIt-скриптов - Icon.dll, который внедряет в процесс интерпретатора AutoIt майнер, и Kape.dll, который внедряет в него же ClipBanker.
ClipBanker - это семейство вредоносного ПО для подмены адресов криптокошельков в буфере обмена на адреса злоумышленников и, соответственно, перехвата средств.
По данным телеметрии «Лаборатории», более четырех с половиной человек стали объектами этой атаки (правда, коэффициент успешности остается под вопросом).
Сейчас пользователи, перешедшие по вышеупомянутой ссылке, переадресовываются на URL sourceforge.net/directory/postscript/windows/
«Киберзлоумышленники считают пользователей пиратских ресурсов своей законной добычей: попытки подсунуть тем вредоносное ПО вместо контрафактных дистрибутивов наблюдается регулярно», - отмечает Никита Павлов, эксперт по информационной безопасности компании SEQ.
Эксперт отметил, что в последнее время количество таких атак растет, и злоумышленники используют все больше легитимных ресурсов в качестве приманки или прикрытия.
Поделиться
Короткая ссылка
