网络安全研究人员发现,攻击者正在滥用SourceForge平台分发伪装成微软插件的恶意工具,这些工具会在受害者电脑上安装同时具备挖矿和加密货币窃取功能的恶意软件。
SourceForge.net是一个合法的软件托管和分发平台,支持版本控制、错误跟踪以及专用论坛/维基功能,因此在开源项目社区中非常受欢迎。虽然其开放的项目提交模式存在被滥用的风险,但实际通过该平台分发恶意软件的情况较为罕见。
卡巴斯基最新发现的这场攻击活动已影响超过4,604台系统,其中大部分位于俄罗斯。虽然该恶意项目已从SourceForge下架,但卡巴斯基表示搜索引擎仍保留着项目索引,导致搜索"office插件"等关键词的用户仍可能被引导至恶意页面。
这个名为"officepackage"的项目伪装成Office插件开发工具集,其描述和文件实际上是复制自GitHub上合法的微软项目"Office-Addin-Scripts"。
当用户在谷歌等搜索引擎中查找Office插件时,结果会指向"officepackage.sourceforge.io"——这是SourceForge为项目所有者提供的独立网页托管功能。该页面模仿了正规开发者工具页面,显示"Office插件"和"下载"按钮。点击任何按钮后,受害者将获得一个包含密码保护压缩包(installer.zip)和密码文本文件的ZIP文件。
压缩包内含一个膨胀至700MB的MSI文件(installer.msi),这种超大体积旨在逃避杀毒软件扫描。运行后会释放'UnRAR.exe'和'51654.rar'文件,并执行一个从GitHub获取批处理脚本(confvk.bat)的Visual Basic脚本。
该脚本会检测运行环境是否为模拟器以及当前运行的杀毒软件产品,然后下载另一个批处理脚本(confvz.bat)并解压RAR压缩包。confvz.bat脚本通过修改注册表和添加Windows服务实现持久化。
RAR文件包含一个AutoIT解释器(Input.exe)、Netcat反向Shell工具(ShellExperienceHost.exe)以及两个有效载荷(Icon.dll和Kape.dll)。
这两个DLL文件分别是加密货币挖矿程序和剪贴板劫持器。前者会劫持计算机算力为攻击者挖掘加密货币,后者则监控剪贴板中复制的加密货币地址,将其替换为攻击者控制的地址。
攻击者还能通过Telegram API调用获取受感染系统的信息,并通过同一渠道向被攻陷的机器投送额外有效载荷。这再次证明攻击者会利用任何合法平台来获取虚假可信度并绕过安全防护。
安全专家建议用户仅从可验证的受信任发布者处下载软件,优先选择官方项目渠道(本例中应为GitHub),并在运行前使用最新杀毒工具扫描所有下载文件。
