Minacce informatiche: malware distribuito tramite SourceForge
Gli attori delle minacce sono stati osservati mentre distribuivano payload malevoli come cryptocurrency miner e clipper malware attraverso SourceForge, un popolare servizio di hosting software, sotto le sembianze di versioni craccate di applicazioni legittime come Microsoft Office.
Progetto officepackage: un inganno ben orchestrato
Uno di questi progetti, officepackage, presente sul sito principale sourceforge.net, sembra abbastanza innocuo, contenendo componenti aggiuntivi di Microsoft Office copiati da un progetto legittimo su GitHub. Tuttavia, il dominio assegnato a questo progetto, “officepackage.sourceforge[.]io”, mostra un lungo elenco di applicazioni Microsoft Office e relativi link per il download in russo.
Download ingannevoli e reindirizzamenti sospetti
Passando il mouse sul pulsante di download, appare un URL apparentemente legittimo nella barra di stato del browser: “loading.sourceforge[.]io/download”, dando l’impressione che il link di download sia associato a SourceForge. Tuttavia, cliccando sul link, l’utente viene reindirizzato a una pagina completamente diversa ospitata su “taplink[.]cc”, che mostra in modo prominente un altro pulsante di download.
Il processo di infezione: un’analisi dettagliata
Se le vittime cliccano sul pulsante di download, viene servito un archivio ZIP da 7 MB (“vinstaller.zip”), che, una volta aperto, contiene un secondo archivio protetto da password (“installer.zip”) e un file di testo con la password per aprire il file. All’interno del nuovo file ZIP si trova un installer MSI responsabile della creazione di diversi file, un’utilità di archivio console chiamata “UnRAR.exe”, un archivio RAR e uno script Visual Basic (VB).
Lo script VB esegue un interprete PowerShell per scaricare ed eseguire un file batch, confvk, da GitHub. Questo file contiene la password per l’archivio RAR. Inoltre, estrae file malevoli ed esegue lo script di fase successiva. Il file batch è progettato anche per eseguire due script PowerShell, uno dei quali invia metadati di sistema utilizzando l’API di Telegram. L’altro file scarica un altro script batch che agisce sui contenuti dell’archivio RAR, lanciando infine i payload di miner e clipper malware (noto anche come ClipBanker).
Connessioni remote e ulteriori azioni malevole
Viene inoltre rilasciato l’eseguibile netcat (“ShellExperienceHost.exe”) che stabilisce una connessione crittografata con un server remoto. Non è tutto. Il file batch confvk è stato trovato a creare un altro file chiamato “ErrorHandler.cmd” che contiene uno script PowerShell programmato per recuperare ed eseguire una stringa di testo tramite l’API di Telegram.
Targeting degli utenti russi
Il fatto che il sito web abbia un’interfaccia in russo indica un focus sugli utenti di lingua russa. I dati di telemetria mostrano che il 90% delle potenziali vittime si trova in Russia, con 4.604 utenti che hanno incontrato lo schema tra l’inizio di gennaio e la fine di marzo. Con le pagine sourceforge[.]io indicizzate dai motori di ricerca e apparse nei risultati di ricerca, si ritiene che gli utenti russi che cercano Microsoft Office su Yandex siano probabilmente il target di questo attacco.
Fonte: The Hackers News
