Хакеры атаковали россиян, маскируя майнер и троян под Microsoft Office — «Лаборатория Касперского»

Под видом офисных приложений Microsoft, злоумышленники распространяют майнер и троян ClipBanker через популярную площадку SourceForge.

Только в России с атакой столкнулись более 4600 пользователей, сообщают в «Лаборатории Касперского».

Больше новостей — в нашем тг-канале «Представляешь»

Маскировка под легитимный софт

Атака начинается с поддельной страницы на домене sourceforge.io, где предлагается скачать «бесплатные» версии офисных программ Microsoft. Внешне — обычный проект SourceForge. Но вместо ПО человек получает вредоносный архив.

Внутри защищённый паролем архив и текстовый файл с этим паролем. Если пользователь его открывает, на компьютер загружается два вредоносных компонента: скрытый майнер и троян ClipBanker.

Первый тихо использует ресурсы ПК для добычи криптовалюты, второй подменяет адреса криптокошельков, крадя переводы.

Почему это сработало

Хакеры использовали особенность платформы: при создании проекта на sourceforge.net автоматически появляется поддомен sourceforge.io, где можно разместить любые данные.

На sourceforge.net они загрузили безвредные «дополнения к офисным программам», а на sourceforge.io — страницу с ложными описаниями и вредоносной ссылкой.

Дополнительно они применили технику File Pumping: вредоносный файл весил свыше 700 МБ, но реально содержал всего 7 МБ полезной нагрузки — остальное было «мусором» для маскировки. Цель — создать впечатление, будто это настоящий установщик Microsoft Office.

Как защититься

Специалисты «Лаборатории Касперского» рекомендуют:

• скачивать софт только с официальных сайтов и магазинов приложений;
• использовать антивирус с актуальными базами.