A empresa de segurança Kaspersky alertou sobre novos malware direcionados aos usuários de criptografia através do site de hostes de software Sourceforge. Em uma publicação recente, a empresa disse que o projeto de software no site, o Office Package, contém um malware de envenenamento por endereço direcionando usuários de criptografia.
Segundo o relatório, o software do pacote do Office é um projeto legítimo que contém complementos do Microsoft Office. No entanto, uma investigação mais próxima revela mais sobre o pacote, pois contém links de download que levam a um URL diferente.
Dizia:
“O projeto sob investigação foi atribuído ao domínio OfficePackage.SourceForge [.] IO, mas a página exibida quando você vai a esse domínio não se parece nada com o OfficePackage no fonteforge.net.”
Curiosamente, o processo de download de malware é bastante complexo, com os usuários passando por três URLs antes que possam baixar o arquivo. O processo complexo parece fazer parte do esquema para atrair os usuários a acreditar que estão baixando um aplicativo genuíno.
Especialistas em segurança da Kaspersky observou que o arquivo de instalação final é o instalador.msi, um arquivo de 700 megabyte que os maus atores inflaram tamanho para fazer com que pareça um instalador de software autêntico. Depois de tirar os bytes de lixo, o tamanho real é de sete megabytes.
Ao executar o instalador, os usuários instalam involuntariamente dois aplicativos maliciosos em seus dispositivos, um mineiro e um clipbanker. O clipbanker permite envenenamento por endereço, substituindo os endereços criptográficos copiados na área de transferência com os do invasor, levando os usuários a enviar fundos para os endereços errados.
Os especialistas em segurança escreveram:
"As principais ações maliciosas nesta campanha se resumem a executar dois scripts de automóveis. O ICON.DLL reinicia o intérprete de autoit e injeta um mineiro nele, enquanto Kape.dll faz o mesmo, mas injeta clipbanker".
Enquanto isso, eles também observaram que o ataque se concentrava principalmente em alvos russos. Os sinais disso incluem a interface russa para o site OfficePackage.SourceForge [.] IO e o fato de que 90% dos 4.604 usuários encontraram o malware entre janeiro e final de março são russos.
ADENDAR SCAMS DE ENOUNAÇÃO APRENCIENTE
O relatório da Kaspersky corresponde ao recente aumento de ataques de envenenamento por endereço a usuários de criptografia, conforme relatado por várias empresas de segurança de blockchain. De acordo com os dados do Scam Sniffer, o terceiro maiordent de phishing em março deveria o envenenamento por endereços.
Cyvers também relatou que os golpes de envenenamento por endereços causaram uma perda de mais de US $ 1,2 milhão nas três primeiras semanas de março, aumentando os US $ 1,8 milhão em fevereiro. A empresa disse que seu sistema de detecção de ameaças de IAdentum aumento nos ataques de envenenamento por endereço.
Enquanto a maioria dos ataques de envenenamento de endereços resulta de invasores que enviam manualmente pequenas transações às vítimas com endereços semelhantes aos que usam frequentemente, o uso de malware sofisticado que permite que os invasores alterem os endereços da área de transferência mostra como os maus atores continuam a evoluir.
Os especialistas em segurança acreditam que a solução número um para esse problema é que os usuários evitem baixar o software de fontes não confiáveis. Eles observaram que os maus atores geralmente exploram sites de software não oficiais para distribuir aplicativos maliciosos, e as pessoas que usam esses sites devem estar cientes desse risco.
No entanto, eles observaram que esse malware apresenta um problema ainda maior, pois fornece uma maneira inventiva de os invasores obterem acesso a sistemas infectados. Assim, existe a possibilidade de que os criadores possam decidir usá -lo para mais do que direcionar usuários de criptografia e começar a vendê -lo para maus atores mais perigosos.
O fio de diferença -chave ajuda as marcas de criptografia a romper e dominar as manchetes rapidamente
