Хотел Word — получил майнер: SourceForge как русская рулетка

Эксперты «Лаборатории Касперского» выявили вредоносную кампанию, в рамках которой злоумышленники распространяют майнер и троянец ClipBanker, маскируя их под офисные приложения Microsoft. Распространение происходило через платформу SourceForge, а число пострадавших пользователей в России уже превысило 4600 человек.

В ходе атаки использовался один из доменов сайта SourceForge — sourceforge.io. Люди, которые искали приложения Microsoft для ПК на неофициальных сайтах, могли попасть на проект, размещённый по этому адресу. Там предлагалось бесплатно скачать популярные офисные программы. При переходе по ссылке пользователь попадал на страницу проекта с обширным списком офисных приложений Microsoft, каждое из которых можно было якобы загрузить, нажав кнопку. Однако за этой кнопкой скрывалась гиперссылка, ведущая на скачивание вредоносного архива.

В архиве находились два файла: один архив, защищённый паролем, и текстовый документ с этим паролем. Если человек открывал защищённый архив, в результате цепочки загрузок на устройство попадали два вредоносных компонента. Один из них представлял собой майнер, позволявший использовать вычислительные ресурсы заражённого компьютера для добычи криптовалюты. Второй — троян ClipBanker, который подменял в буфере обмена адреса криптовалютных кошельков, чтобы похитить средства. Офисных приложений Microsoft среди скачанных файлов не оказывалось. По данным специалистов, хотя основная цель атаки — кража криптовалюты и её майнинг, впоследствии злоумышленники могут использовать полученный доступ к устройствам и в других целях, в том числе для перепродажи.

Отмечается, что авторы этой схемы воспользовались технической особенностью платформы SourceForge. Для каждого проекта, созданного на основном сайте sourceforge.net, автоматически предоставляется отдельное доменное имя и веб-хостинг на sourceforge.io. На sourceforge.net они загрузили проект с дополнениями к офисным программам без вредоносного кода. А на sourceforge.io разместили описание офисных приложений Microsoft и ссылку на архив с вредоносным содержимым.

По наблюдениям экспертов, злоумышленники всё чаще прибегают к использованию облачных хранилищ, репозиториев и бесплатных хостингов. Это позволяет им экономить ресурсы на инфраструктуре и скрываться среди миллионов безвредных файлов.

Также специалисты обратили внимание на содержимое второго архива, который был защищён паролем. Внутри находился файл размером более 700 мегабайт. Как предполагается, такой объём был выбран для создания впечатления, будто перед пользователем — полноценный установщик. На самом деле в файле применялась техника File Pumping — искусственное увеличение размера за счёт добавления большого количества бесполезных данных в конец файла. Фактический объём вредоносного содержимого составлял около 7 мегабайт.