Niebezpieczne pliki z SourceForge
Chociaż platforma SourceForge jest znana z legalnych projektów typu open source, tym razem została wykorzystana w nowej cyberkampanii. Napastnicy stworzyli złośliwy projekt zatytułowany „officepackage”, imitujący legalny zestaw narzędzi od Microsoftu, który normalnie dostępny jest na GitHubie jako „Office-Addin-Scripts”. Użytkownicy poszukujący dodatków biurowych trafiali na stronę podszywającą się pod autentyczny projekt, mylnie sądząc, że ściągają oficjalne oprogramowanie. Według ekspertów z firmy Kaspersky, problem ten dotyczył już ponad 4600 systemów komputerowych, głównie na terenie Rosji. Chociaż SourceForge szybko usunął fałszywy projekt ze swojej platformy, wcześniej został on już zaindeksowany przez wyszukiwarki internetowe, przez co użytkownicy nadal mogą na niego trafić.
Cyberatak przez dodatki Office
Mechanizm działania jest wyjątkowo sprytny. Po kliknięciu w link „Dodatki pakietu Office” użytkownik otrzymywał plik ZIP chroniony hasłem, które znajdowało się w oddzielnym pliku tekstowym. Archiwum zawierało duży plik instalacyjny MSI (aż 700 MB), aby uniknąć wykrycia przez programy antywirusowe. Po instalacji uruchamiały się kolejne skrypty, które najpierw sprawdzały środowisko pod kątem aktywnych zabezpieczeń, a następnie pobierały dalsze instrukcje z GitHuba. W efekcie komputer ofiary był infekowany narzędziami pozwalającymi cyberprzestępcom na kopanie kryptowalut za pomocą mocy obliczeniowej maszyny ofiary. Równocześnie, specjalny moduł kontrolował schowek systemowy i podmieniał adresy kryptowalut kopiowane przez użytkowników na adresy należące do przestępców. Dzięki temu mogli oni przejąć środki finansowe użytkowników bez ich wiedzy.
Kradzież kryptowalut przez fałszywe dodatki
Cyberprzestępcy stworzyli także dodatkowy kanał komunikacyjny z zaatakowanym komputerem, wykorzystując aplikację Telegram. Dzięki temu mogli wysyłać dodatkowe złośliwe narzędzia, a także zbierać informacje o zainfekowanych systemach. Eksperci ostrzegają, że tego typu kampanie stają się coraz popularniejsze, ponieważ atakujący coraz częściej używają znanych, wiarygodnych platform do dystrybucji złośliwych treści. Z tego względu użytkownicy powinni zachować ostrożność i zawsze weryfikować źródła pobieranego oprogramowania. Najbezpieczniejszym rozwiązaniem pozostaje korzystanie z oficjalnych kanałów dystrybucji, takich jak zweryfikowane repozytoria na GitHubie czy strony producentów. Ponadto każda pobrana aplikacja powinna zostać dokładnie przeskanowana przez aktualne narzędzia antywirusowe, zanim zostanie uruchomiona na komputerze.
