Компания Kaspersky, специализирующаяся на информационной безопасности, предупредила о новом вредоносном ПО, нацеленном на пользователей криптовалют через веб-сайт SourceForge, предоставляющий услуги хостинга программного обеспечения. В недавней публикации компания заявила, что размещенный на сайте программный проект Office Package содержит вредоносное ПО, отравляющее адреса и нацеленное на пользователей криптовалют.
Согласно отчёту, пакет программного обеспечения Office представляет собой легитимный проект, содержащий надстройки Microsoft Office. Однако более тщательное расследование выявляет больше информации о пакете, поскольку он содержит ссылки для скачивания, ведущие на другой URL-адрес.
Там было написано:
«Проекту, находящемуся под следствием, присвоен домен officepackage.sourceforge[.]io, но страница, отображаемая при переходе по этому домену, совершенно не похожа на officepackage на sourceforge.net»
Примечательно, что процесс загрузки вредоносного ПО довольно сложен: пользователям приходится переходить по трем URL-адресам, прежде чем они смогут загрузить файл. По всей видимости, этот сложный процесс является частью схемы, призванной заманить пользователей в заблуждение, заставив их поверить, что они загружают подлинное приложение.
Эксперты по безопасности «Лаборатории Касперского» отметили, что окончательный установочный файл — это installer.msi, файл размером 700 мегабайт, размер которого злоумышленники увеличили, чтобы он выглядел как подлинный установщик программного обеспечения. После удаления лишних байтов реальный размер составляет семь мегабайт.
Запустив установщик, пользователи неосознанно устанавливают на свои устройства два вредоносных приложения: майнер и ClipBanker. ClipBanker позволяет осуществлять отравление адресов, заменяя криптографические адреса, скопированные в буфер обмена, адресами злоумышленника, что приводит к отправке средств на неверные адреса.
Эксперты по безопасности написали:
«Основные вредоносные действия в этой кампании сводятся к запуску двух скриптов AutoIt. Icon.dll перезапускает интерпретатор AutoIt и внедряет в него майнер, а Kape.dll делает то же самое, но внедряет ClipBanker»
Между тем, они также отметили, что атака была в основном направлена на российские цели. Признаками этого являются российский интерфейс сайта officepackage.sourceforge[.]io и тот факт, что 90% из 4604 пользователей, столкнувшихся с вредоносным ПО в период с января по конец марта, являются россиянами.
Борьба с участившимися случаями мошенничества с отравлениями
Отчет «Лаборатории Касперского» совпадает с недавним ростом числа атак с использованием отравления адресов на пользователей криптовалют, о которых сообщают несколько компаний, занимающихся безопасностью блокчейна. Согласно данным Scam Sniffer, третий по величине фишинговыйdent в марте был связан с отравлением адресов.
Компания Cyvers также сообщила, что мошеннические схемы с использованием подмены адресов привели к убыткам в размере более 1,2 миллиона долларов за первые три недели марта, что в сумме составляет 1,8 миллиона долларов в феврале. Фирма заявила, что ее система обнаружения угроз на основе искусственного интеллектаdentрост числа атак с подменой адресов.
В то время как большинство атак с использованием отравления адресов происходит из-за того, что злоумышленники вручную отправляют жертвам небольшие транзакции с адресами, похожими на те, которые они часто используют, применение сложных вредоносных программ, позволяющих изменять адреса из буфера обмена, демонстрирует, как продолжают развиваться злоумышленники.
Эксперты по безопасности считают, что наилучшее решение этой проблемы — избегать загрузки программного обеспечения из ненадежных источников. Они отмечают, что злоумышленники обычно используют неофициальные веб-сайты для распространения вредоносных приложений, и пользователи таких сайтов должны осознавать этот риск.
Однако они отметили, что это вредоносное ПО представляет собой еще большую проблему, поскольку предоставляет злоумышленникам изобретательный способ получения доступа к зараженным системам. Таким образом, существует вероятность того, что создатели могут решить использовать его не только для борьбы с пользователями криптовалюты, но и начать продавать его более опасным злоумышленникам.
