Как злоумышленники используют SourceForge для распространения вредоносного ПО

Сегодня, 8 апреля, издание «Известия» со ссылкой на специалистов «Лаборатории Касперского» сообщило о распространении вредоносного ПО на платформе SourceForge. Злоумышленники маскируют свои угрозы под пакет офисных приложений Microsoft Office, в результате чего уже более 4600 систем в России стали жертвами этой атаки.

Пользователи, которые искали в интернете на неофициальных ресурсах приложения Microsoft для ПК, могли увидеть страницу, размещённую на одном из доменов сайта SourceForge, где предлагалось скачать такие программы бесплатно. Если человек переходил по ссылке, на странице программы он видел большой перечень популярных офисных приложений Microsoft, доступных для загрузки по кнопке.

По словам эксперта, злоумышленники подменяют ссылки, указывая пользователю загружать архив с вредоносным содержимым. Внутри архива находятся два файла: вспомогательный архив с защищённым паролем и текстовый документ с записью этого пароля. После открытия архива, пользователь скачивает две вредоносные программы вместо ожидаемого офисного пакета.

Первая из них — обычный майнер, который использует ресурсы компьютера для добычи криптовалюты без ведома владельца. Вторая программа-троян ClipBanker имеет более агрессивные функции — она подменяет адреса криптовалютных кошельков при отправке средств, тем самым похищая активы пользователей. Кроме того, в «Лаборатории Касперского» считают, что скомпрометированные системы могут быть использованы для других злонамеренных целей, например, в качестве ботов для DDoS-атак. При этом стоит отметить, что сам пакет офисных приложений в заражённом архиве отсутствует.

Чтобы защитить личные данные, систему и криптовалютные активы, настоятельно рекомендуется избегать загрузки программного обеспечения (включая Microsoft Office) с ненадёжных ресурсов, особенно в условиях столь массовых атак на компьютеры пользователей.