Атакующие используют для распространения зловредов популярный легитимный ресурс для хостинга проектов и обмена программным обеспечением — SourceForge
Эксперты «Лаборатории Касперского» обнаружили, что злоумышленники распространяют майнер и троянец ClipBanker под видом офисных приложений Microsoft на платформе SourceForge. В России с этой вредоносной кампанией столкнулись уже больше 4600 пользователей*.
Люди, которые искали в интернете на неофициальных ресурсах приложения Microsoft для ПК, могли увидеть проект, размещённый на одном из доменов сайта SourceForge, — sourceforge.io. На нём предлагалось скачать такие программы бесплатно. Если человек переходил по ссылке, на странице проекта он видел большой перечень популярных офисных приложений Microsoft, доступных для загрузки по кнопке. Однако на самом деле за ней была спрятана гиперссылка, ведущая на скачивание вредоносного архива.
Внутри архива содержалось два файла: ещё один архив, защищённый паролем, и текстовый документ с паролем. Если человек распаковывал вложенный, защищённый паролем архив, то в результате цепочки загрузок на компьютер проникали две вредоносные программы. Первая — майнер, позволявший злоумышленникам использовать мощности заражённого ПК для майнинга криптовалюты. Вторая — ClipBanker — троянец, который подменял адреса криптокошельков для кражи криптовалюты. Приложений Microsoft при этом среди скачанных файлов не оказывалось. Специалисты по кибербезопасности отмечают: несмотря на то что атака нацелена на кражу и майнинг криптовалюты, в дальнейшем злоумышленники могут продавать доступ к скомпрометированным устройствам или использовать его в других целях.
«Авторы этой кампании воспользовались особенностью платформы SourceForge. Для проектов, созданных на sourceforge.net, автоматически выделяется дополнительное доменное имя и веб-хостинг на sourceforge.io. На sourceforge.net атакующие загрузили проект c дополнениями к офисным программам, которые не содержали вредоносный код, а уже на sourceforge.io разместили описания приложений Microsoft и вредоносную ссылку, ведущую на заражённый архив. Злоумышленники в целом всё чаще используют в своих схемах облачные хранилища, репозитории, бесплатные хостинги — чтобы минимизировать затраты на инфраструктуру. К тому же на таких ресурсах им легче затеряться среди миллионов чистых файлов, — комментирует Олег Купреев, эксперт по кибербезопасности в „Лаборатории Касперского“. — Внутри второго, запароленного архива, находился файл весом более 700 мегабайт. Вероятно, такой внушительный размер должен был убедить человека в том, что перед ним действительно установщик ПО. На самом деле его создатели применили технику File Pumping и искусственно увеличили размер файла, дописав в его конец большое количество „мусора“. В реальности файл весил всего 7 мегабайт».
Решения «Лаборатории Касперского» защищают пользователей от вредоносных программ, которые использовались в обнаруженной схеме.
Для защиты от подобных угроз эксперты по кибербезопасности рекомендуют пользователям:
· скачивать программы только из официальных источников: магазинов приложений или с сайтов компаний-разработчиков;
· использовать надёжное защитное решение, например Kaspersky Premium.
* Данные на основе анонимизированной статистики срабатывания решений «Лаборатории Касперского» с 1 января по 2 апреля 2025 года.
