El abuso de los actores de amenaza de SourceForge para distribuir módulos suplementarios de Microsoft que instalan malware en las víctimas de las víctimas de la mina y volar la criptomoneda.
SourceForge.net es una plataforma de alojamiento y distribución legítima que también admite el control de versiones, el monitoreo de errores y foros / wikis dedicados, lo que lo hace muy popular entre las comunidades de proyectos de código abierto.
Aunque su modelo de envío de proyecto abierto ofrece mucho margen para los abusos, ver de hecho malware distribuido, es raro.
La nueva campaña Visto por Kaspersky tuvo un impacto en 4.604 sistemas, la mayoría de los cuales están en Rusia.
Aunque el proyecto malicioso ya no está disponible en SourceForge, Kaspersky dice que el proyecto había sido indexado por los motores de búsqueda, trayendo el tráfico de usuarios en busca de “suplementos de oficina” o similares.
Fuente: Kaspersky
Suplementos falsos de oficina
El proyecto “OfficePackage” se presenta como una colección de herramientas complementarias de desarrollo de escritorio, su descripción y sus archivos son una copia del legítimo Microsoft ‘Project’ Office-Addin-Script ‘, disponible en Github.
Fuente: Kaspersky
Sin embargo, cuando los usuarios buscan suplementos de oficina en la búsqueda de Google (y otros motores), obtienen resultados que apuntan a “OfficePackage.SourceForge.io”, alimentado por una funcionalidad de alojamiento web separada, SourceForge ofrece propietarios de proyectos.
Esta página imita una página de herramienta de desarrollador legítimo, que muestra los botones “Suplementos de oficina” y “Descargar”. Si es necesario, la víctima recibe una zip que contiene un archivo protegido con contraseña (instalador.zip) y un archivo de texto con la contraseña.
Fuente: BleepingCompute
El archivo contiene un archivo MSI (instalador.msi) inflado a 700 MB para escapar de los escaneos AV. La ejecución de él abandona “unrar.exe” y “51654.rar” y realiza un script de Visual Basic que recupera mucho (confvk.bat) script de Github.
El script realiza comprobaciones para determinar si se ejecuta en un entorno simulado y qué productos antivirus están activos, luego descarga otro script lote (confvz.bat) y desempaqueta el archivo RAR.
El script confvz.bat establece la persistencia a través de cambios de registro y la adición de servicios de Windows.
El archivo RAR contiene un intérprete AutoIT (input.exe), la herramienta NetCat Reverse Shell (ShellexperiendHost.exe) y dos cargas útiles (Icon.dll y Kape.dll).
Fuente: Kaspersky
Los archivos DLL son una criptomoneda menor y un clipper. El primero desvía el poder de cálculo de la máquina para explotar la criptomoneda en nombre del atacante, y el segundo monitorea el portapapeles para las direcciones de criptomonedas copiadas y las reemplazó con estados controlados por prensa.
El atacante también recibe información del sistema infectado a través de llamadas de API de telegrama y puede usar el mismo canal para introducir cargos adicionales en la máquina comprometida.
Esta campaña es otro ejemplo de actores de amenaza que explotan cualquier plataforma legítima para obtener falsas legitimidad y evitar las protecciones.
Se recomienda a los usuarios para descargar solo el software de los editores fieles que pueden consultar, preferir los canales oficiales del proyecto (en este caso Github) y escanee todos los archivos descargados con una herramienta de actualización antes de la ejecución.
Basado en un análisis de las acciones maliciosas de 14 millones, descubra las 10 técnicas principales ATTR & CK con el 93% de los ataques y cómo defenderse contra ellos.