關鍵詞

惡意軟件

威脅行為者正在濫用 SourceForge 分發偽造的 Microsoft 插件，這些插件會在受害者的計算機上安裝惡意軟件，以挖掘和竊取加密貨幣。

SourceForge.net 是一個合法的軟件托管和分發平臺，還支持版本控制、錯誤跟蹤和專門的論壇/wiki，因此在開源項目社區中非常受歡迎。

盡管其開放的項目提交模型為濫用提供了很大的空間，但實際上看到通過它傳播的惡意軟件的情況卻很少見。

卡巴斯基發現的新活動已影響超過 4,604 個系統，其中大部分位于俄羅斯。

盡管該惡意項目在 SourceForge 上已不再可用，但卡巴斯基表示該項目已被搜索引擎編入索引，并帶來了搜索“辦公插件”或類似內容的用戶流量。

假冒 Office 加載項

“officepackage”項目將自己展示為 Office 插件開發工具的集合，其描述和文件是 GitHub 上合法 Microsoft 項目“Office-Addin-Scripts”的副本。

然而，當用戶在 Google 搜索（和其他引擎）上搜索辦公插件時，他們會得到指向“officepackage.sourceforge.io”的結果，該結果由 SourceForge 為項目所有者提供的單獨的網絡托管功能提供支持。

該頁面模仿合法的開發人員工具頁面，顯示“Office 插件”和“下載”按鈕。如果點擊任何一個按鈕，受害者就會收到一個 ZIP 文件，其中包含受密碼保護的存檔 (installer.zip) 和帶有密碼的文本文件。

該存檔包含一個 MSI 文件 (installer.msi)，其大小被夸大到 700MB，以逃避 AV 掃描。運行它會釋放“UnRAR.exe”和“51654.rar”，并執行一個 Visual Basic 腳本，該腳本從 GitHub 獲取批處理腳本 (confvk.bat)。

該腳本執行檢查以確定它是否在模擬環境中運行以及哪些防病毒產品處于活動狀態，然后下載另一個批處理腳本（confvz.bat）并解壓 RAR 存檔。

confvz.bat 腳本通過修改注冊表和添加 Windows 服務來建立持久性。

RAR 文件包含一個 AutoIT 解釋器 (Input.exe)、Netcat 反向 shell 工具 (ShellExperienceHost.exe) 和兩個有效負載 (Icon.dll 和 Kape.dll)。

這些 DLL 文件分別是加密貨幣挖礦程序和剪切程序。前者劫持機器的計算能力，為攻擊者的賬戶挖掘加密貨幣，后者監視剪貼板中復制的加密貨幣地址，并將其替換為攻擊者控制的地址。

攻擊者還通過 Telegram API 調用接收受感染系統的信息，并可以使用相同渠道向受感染的機器引入額外的有效載荷。

這次活動是威脅行為者利用任何合法平臺來獲取虛假合法性并繞過保護的另一個例子。

建議用戶僅從他們可以驗證的可信發布者那里下載軟件，優先選擇官方項目渠道（在本例中為 GitHub），并在執行之前使用最新的 AV 工具掃描所有下載的文件。

更新 4/9 - BleepingComputer 收到了來自 SourceForge 總裁 Logan Abbott 的以下評論

SourceForge 上沒有托管任何惡意文件，也沒有任何形式的違規行為。涉事惡意行為者和項目在被發現后幾乎立即被刪除。SourceForge.net（主網站，而非項目網站子域名）上的所有文件都經過惡意軟件掃描，用戶應該從那里下載文件。無論如何，我們已經采取了額外的安全措施，確保使用免費虛擬主機的項目網站將來無法鏈接到外部托管文件或使用可疑的重定向。—— Logan Abbott，SourceForge

來源： https://www.bleepingcomputer.com/news/security/fake-microsoft-office-add-in-tools-push-malware-via-sourceforge/

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！