SourceForge использовали для распространения вредоносных программ: вместо офисных приложений — майнеры и трояны
Эксперты из «Лаборатории Касперского» выявили очередную схему распространения вредоносного ПО, в которой злоумышленники использовали популярную платформу SourceForge. На этот раз под удар попали пользователи из Беларуси, которые искали в интернете неофициальные версии офисных программ Microsoft.
Сценарий был прост: человек вбивает в поиск что-то вроде «скачать Microsoft Office бесплатно» и выходит на проект на домене sourceforge.io — внешне всё выглядит вполне легитимно. Там предлагается длинный список офисных программ с кнопками загрузки. Только вместо Word и Excel пользователь получает архив, внутри которого — никакой полезной программы, а совсем другое «наполнение».
При распаковке файла человек обнаруживает ещё один архив, уже под паролем, и текстовый документ с этим самым паролем. Всё выглядит почти как настоящий установщик. Но вот после распаковки запускается цепочка загрузок, и на компьютер устанавливаются два вредоносных компонента: майнер и троянец ClipBanker. Первый тихо использует ресурсы устройства для добычи криптовалюты, второй — подменяет адреса криптокошельков в буфере обмена, крадя средства при переводах. Естественно, никаких Microsoft Office в итоге не оказывается.
По словам экспертов, подобная кампания стала возможна благодаря особенностям платформы SourceForge. Когда пользователь создаёт проект на sourceforge.net, ему автоматически предоставляется поддомен и веб-хостинг на sourceforge.io. Именно это и использовали злоумышленники: на одном домене они разместили якобы безобидный проект-дополнение к офисным программам, а на другом — уже «приманку» с фейковыми описаниями и вредоносной ссылкой.
Хитрость была и в деталях. Например, внутри заражённого архива находился файл весом более 700 мегабайт. На первый взгляд — серьёзный установщик. Однако как пояснил Олег Купреев, эксперт по кибербезопасности из «Касперского», реальный размер файла был всего около 7 мегабайт. Остальное — мусор, добавленный с помощью техники File Pumping, чтобы внушить доверие к «тяжёлому» архиву.
Такие схемы — не новость. Злоумышленники всё чаще используют облачные хранилища, репозитории, бесплатные платформы для размещения проектов. Это позволяет им экономить на инфраструктуре и «теряться» среди миллионов добропорядочных файлов.
Эксперты предупреждают: всегда стоит загружать ПО только с официальных сайтов, даже если очень хочется сэкономить. Особенно — когда речь идёт о программах, у которых есть доступ к личной информации и финансам. Лучше перестраховаться, чем потом искать, куда делись деньги с криптокошелька или почему компьютер вдруг стал гудеть, как печка.
