Остерегайтесь опасных поддельных надстроек для Microsoft Office: они распространяют вредоносное ПО

Недавно специалисты по безопасности компании Kaspersky обнаружили новую вредоносную кампанию, использующую платформу SourceForge. В ходе этой кампании распространялись майнер криптовалюты и программа-захватчик буфера обмена.

SourceForge утверждает, что атака была быстро остановлена. Злоумышленники пытались использовать SourceForge для распространения вредоносных программ, но благодаря быстрому реагированию платформы, серьезная эскалация, похоже, была предотвращена.

В начале этого месяца исследователи безопасности Kaspersky сообщили о «довольно уникальной» схеме распространения вредоносных программ, в которой поддельным проектом Microsoft Office, названным «officepackage», была загружена на основной веб-сайт sourceforge.net. Officepackage рекламировался как сборник инструментов для разработки надстроек Microsoft Office. В описании и файлах проекта говорилось, что это копия легитимного проекта Microsoft «Office-Addin-Scripts», который можно найти на GitHub.

На самом деле файлы служили загрузчиками вредоносных программ, майнером криптовалюты и программой-захватчиком буфера обмена. Kaspersky заявила, что злоумышленники могут использовать файлы, распространяемые через проект, для установки дополнительного вредоносного ПО на скомпрометированные устройства, или для использования вычислительной мощности устройств для майнинга криптовалюты. Кроме того, файлы отслеживали буфер обмена для скопированных адресов криптовалюты и заменяли их адресами злоумышленников при вставке.

Для тех, кто не знаком с SourceForge, это популярный веб-сайт, который размещает проекты с открытым исходным кодом и предоставляет услуги хостинга, сравнения и распространения. Kaspersky заявила, что до удаления вредоносные программы заразили 4604 системы, большинство из которых находятся в России.

SourceForge, в свою очередь, утверждает, что на его платформе не было взлома: «На SourceForge не было размещено никаких вредоносных файлов и не было никаких нарушений», - заявил президент проекта Логан Эббот (Logan Abbott) в письменном заявлении, переданном BleepingComputer. «Злоумышленник и проект в question были удалены почти сразу же после обнаружения. Все файлы на SourceForge.net (основной веб-сайт, а не поддомены веб-сайтов проектов) сканируются на наличие вредоносных программ, именно там пользователи должны скачивать файлы. Тем не менее, мы установили дополнительные меры безопасности, чтобы веб-сайты проектов, использующие бесплатный веб-хостинг, не могли ссылаться на внешне размещенные файлы или использовать подозрительные перенаправления в будущем».