Nuova Campagna Malware Sfrutta i Progetti di SourceForge per Rubare Cripto & Spiare gli Utenti

Una nuova campagna di malware sta prendendo di mira gli utenti attraverso SourceForge, un sito fidato noto per ospitare progetti di software open-source.

I ricercatori di Kaspersky hanno scoperto uno schema in cui gli aggressori utilizzano un falso progetto per ingannare le persone e farle scaricare file maligni travestiti da strumenti per ufficio.

Il progetto falso, chiamato “officepackage”, sembra innocuo sulla pagina di SourceForge. Inoltre, copia la sua descrizione da un vero progetto di add-on per Microsoft Office su GitHub. Ma il dominio correlato officepackage.sourceforge.io punta a un sito web completamente diverso che elenca false app per ufficio con pulsanti “Download”.

Gli ricercatori spiegano che le pagine sono indicizzate dai motori di ricerca, quindi sembrano legittime nei risultati di ricerca. Ma invece di software utili, gli utenti sono guidati attraverso un labirinto confuso di pagine di download che alla fine installano malware sui loro computer.

Il file scaricato, chiamato vinstaller.zip, contiene strumenti nascosti che includono un archivio protetto da password e un Windows Installer che sembra grande e legittimo, ma è in realtà pieno di dati inutili per ingannare gli utenti. Quando viene avviato, esegue in segreto uno script che scarica file da GitHub, estrae componenti malevoli e inizia a spiare il dispositivo.

Uno degli script nascosti invia i dettagli del dispositivo della vittima agli aggressori attraverso Telegram. Questo include l’indirizzo IP del computer, il nome utente, il software antivirus e persino il nome della CPU.

Il malware fa due cose principali: prima, installa un miner di criptovaluta che utilizza silenziosamente le risorse del computer per generare denaro digitale per gli aggressori.

In secondo luogo, installa un tipo di malware chiamato ClipBanker, che aspetta che gli utenti copino e incollino indirizzi di portafogli di criptovaluta. Quando lo fanno, sostituisce l’indirizzo del portafoglio con uno di proprietà dell’aggressore, reindirizzando i fondi a loro.

Il malware utilizza diversi metodi per rimanere nel sistema e riavviarsi automaticamente anche dopo il riavvio. Si nasconde nelle cartelle di sistema, aggiunge chiavi speciali nel registro, crea falsi servizi Windows e addirittura dirottare gli strumenti di aggiornamento del sistema.

Per garantire la sicurezza, gli esperti consigliano vivamente di scaricare il software solo da fonti ufficiali, poiché i download pirata o non ufficiali comportano sempre un rischio di infezione più elevato.