Dreigingsacteurs zijn waargenomen om kwaadaardige ladingen te distribueren, zoals cryptocurrency Miner en Clipper Malware via SourceForge, een populaire softwarehostingservice, onder het mom van gebarsten versies van legitieme applicaties zoals Microsoft Office.
“Een dergelijk project, OfficePackage, op de belangrijkste website sourceForge.net, lijkt onschadelijk genoeg, met Microsoft Office-add-ins gekopieerd uit een legitiem GitHub-project,” zei Kaspersky in een rapport dat vandaag is gepubliceerd. “De beschrijving en inhoud van OfficePackage die hieronder wordt verstrekt, zijn ook afkomstig van GitHub.”
Terwijl elk project op SourceForge.net een domeinnaam “
Bovendien onthult de downloadknop de downloadknop een schijnbaar legitieme URL in de browserstatusbalk: “Loading.Sourceforge (.) IO/download, waardoor de indruk wordt gegeven dat de downloadlink is gekoppeld aan SourceForge. Echter, klikken op de link om de gebruiker om te leiden naar een volledig andere pagina georganiseerd op” Taplink (.) CC “die prominent wordt weergegeven.
Mochten slachtoffers op de downloadknop klikken, dan krijgen ze een zip-archief van 7 MB geserveerd (“vinstaller.zip”), die, wanneer geopend, een tweede wachtwoord beveiligd archief (“installer.zip”) bevat en een tekstbestand met het wachtwoord om het bestand te openen.
Aanwezig in het nieuwe zip -bestand is een MSI -installatieprogramma dat verantwoordelijk is voor het maken van verschillende bestanden, een console -archiefgebruik genaamd “Unrar.exe”, een RAR -archief en een Visual Basic (VB) -script.
“Het VB -script voert een PowerShell -tolk uit om een batchbestand, Confvk, van GitHub te downloaden en uit te voeren,” zei Kaspersky. “Dit bestand bevat het wachtwoord voor het RAR-archief. Het pakt ook kwaadaardige bestanden uit en voert het volgende fase script uit.”
Het batchbestand is ook ontworpen om twee PowerShell -scripts uit te voeren, waarvan er één systeemmetadata verzendt met behulp van de Telegram API. Het andere bestand downloadt een ander batchscript dat vervolgens werkt op de inhoud van het RAR -archief, waarbij uiteindelijk de payloads van de mijnwerker en Clipper Malware (AKA ClipBanker) worden gelanceerd.
Ook is het NetCat -uitvoerbare bestand (“ShellexerienceHost.exe”) gedropt die een gecodeerde verbinding tot stand brengt met een externe server. Dat is niet alles. Het ConfvK -batchbestand is gevonden om een ander bestand met de naam “ErrorHandler.CMD” te maken dat een PowerShell -script bevat dat is geprogrammeerd om een tekstreeks via de Telegram API op te halen en uit te voeren.
Het feit dat de website een Russische interface heeft, duidt op een focus op Russisch sprekende gebruikers. Telemetriegegevens tonen aan dat 90% van de potentiële slachtoffers in Rusland zijn, met 4.604 gebruikers die het schema tegenkomen tussen begin januari en eind maart.
Met de SourceForge (.) IO -pagina’s geïndexeerd door zoekmachines en in zoekresultaten verschijnen, wordt aangenomen dat Russische gebruikers die op zoek zijn naar Microsoft Office op Yandex waarschijnlijk het doelwit van de campagne zijn.
“Naarmate gebruikers manieren zoeken om applicaties buiten officiële bronnen te downloaden, bieden aanvallers hun eigen aanvallers,” zei Kaspersky. “Hoewel de aanval voornamelijk op cryptocurrency richt door een mijnwerker en clipbanker in te zetten, konden de aanvallers systeemtoegang verkopen aan gevaarlijke acteurs.”
De openbaarmaking komt wanneer het bedrijf details onthulde van een campagne die een malware -downloader distribueert genaamd TakePs via frauduleuze sites die zich voordoen als de Deepseek Artificial Intelligence (AI) chatbot, evenals externe bureaublad en 3D -modelleringssoftware.
Dit omvat websites zoals Deepseek-Ai-Soft (.) Com, waarnaar nietsvermoedende gebruikers worden doorgestuurd via gesponsorde Google-zoekresultaten, per Malwarebytes.
TakePs is ontworpen om PowerShell -scripts te downloaden en uit te voeren die via SSH externe toegang tot de geïnfecteerde host geven en een gewijzigde versie van een Trojan Tevirat laten vallen. Dit benadrukt de pogingen van de dreigingsacteur om op verschillende manieren volledige toegang tot de computer van het slachtoffer te krijgen.
“De voorbeeld (…) gebruikt DLL Sideloading om de teamviewer -externe toegangssoftware te wijzigen en te implementeren op geïnfecteerde apparaten,” zei Kaspersky. “In eenvoudige bewoordingen plaatsen de aanvallers een kwaadaardige bibliotheek in dezelfde map als TeamViewer, die het standaardgedrag en instellingen van de software verandert, het verbergt voor de gebruiker en de aanvallers verborgen externe toegang bieden.”
De ontwikkeling volgt ook op de ontdekking van kwaadaardige Google-advertenties voor RVTools, een populair VMware-hulpprogramma, om een geknoei-versie te leveren die doorspekt is met Thundershell (AKA Smokedham), een Powershell-gebaseerde externe toegangsinstrument (RAT), onderstreept hoe malvertising een persistente en evoluerende bedreiging blijft.
“Thundershell, ook wel Smokedham genoemd, is een openbaar beschikbaar post-exploitatie framework dat is ontworpen voor rode teaming en penetratietests,” zei Field Effect. “Het biedt een command-and-control (C2) -omgeving waarmee operators opdrachten op gecompromitteerde machines kunnen uitvoeren via een Agent op PowerShell.”
