По данным компании по кибербезопасности Kaspersky, злоумышленники пытаются украсть криптовалюту с помощью вредоносного ПО, встроенного в поддельные расширения Microsoft Office, загруженные на сайт размещения программного обеспечения SourceForge.
Один из вредоносных списков, называемый «officepackage», включает в себя настоящие надстройки Microsoft Office, но скрывает вредоносное ПО под названием ClipBanker, которое заменяет скопированный адрес криптокошелька в буфере обмена компьютера на адрес злоумышленника, сообщила исследовательская группа по борьбе с вредоносным ПО Лаборатории Касперского в отчете от 8 апреля.
«Пользователи криптокошельков обычно копируют адреса, а не вводят их. Если устройство заражено ClipBanker, деньги жертвы окажутся в совершенно неожиданном месте», — заявила команда.
Страница фейкового проекта на SourceForge имитирует страницу легитимного инструмента разработчика, показывая надстройки Office и кнопки загрузки, а также может отображаться в результатах поиска.
Лаборатория Касперского заявила, что обнаружила вредоносное ПО для кражи криптовалюты на сайте хостинга программного обеспечения SourceForge.
Лаборатория Касперского заявила, что еще одна функция цепочки заражения вредоносным ПО включает отправку хакерам через Telegram информации об инфицированном устройстве, такой как IP-адреса, страна и имена пользователей.
Вредоносное ПО также может сканировать зараженную систему на наличие признаков того, что оно уже было установлено ранее, или на наличие антивирусного ПО, и удалять себя.
Злоумышленники могут продавать доступ к системе другим
Лаборатория Касперского заявляет, что некоторые файлы в поддельной загрузке имеют небольшой размер, что вызывает «тревожные сигналы, поскольку офисные приложения никогда не бывают такими маленькими, даже в сжатом виде».
Другие файлы заполнены мусором, чтобы убедить пользователей, что они используют настоящий установщик программного обеспечения.
Компания заявила, что злоумышленники получают доступ к зараженной системе «с помощью нескольких методов, включая нетрадиционные».
«Хотя атака в первую очередь нацелена на криптовалюту, используя майнер и ClipBanker, злоумышленники могут продавать доступ к системе более опасным субъектам», — говорится в сообщении.
Интерфейс на русском языке, что, по мнению Лаборатории Касперского, может означать, что он нацелен на русскоязычных пользователей.
«Наша телеметрия показывает, что 90% потенциальных жертв находятся в России, где 4604 пользователя столкнулись с этой схемой в период с начала января по конец марта», — говорится в отчете.
Чтобы не стать жертвой, Касперский рекомендует загружать программное обеспечение только из надежных источников, поскольку пиратские программы и альтернативные варианты загрузки несут в себе более высокие риски.
«Распространение вредоносного ПО, замаскированного под пиратское ПО, — это совсем не новость, — заявила компания. — Поскольку пользователи ищут способы загрузки приложений за пределами официальных источников, злоумышленники предлагают свои собственные. Они продолжают искать новые способы придать своим веб-сайтам видимость законных».
Другие компании также бьют тревогу по поводу новых форм вредоносного ПО, нацеленного на пользователей криптовалют.
Threat Fabric сообщила в отчете от 28 марта, что обнаружила новое семейство вредоносных программ, способное запускать поддельный оверлей, чтобы обманом заставить пользователей Android предоставить свои начальные фразы, когда оно захватывает устройство.
