加密货币矿工和剪贴板恶意软件通过 SourceForge 传播

HackerNews 编译，转载请注明出处： 威胁行为者被观察到通过 SourceForge（一个流行的软件托管服务）分发恶意载荷，如加密货币矿工和剪贴板恶意软件，这些恶意软件伪装成合法应用程序（如 Microsoft Office）的破解版本。 “SourceForge 主网站 sourceforge.net 上的一个名为 officepackage 的项目看起来足够无害，它包含了从一个合法的 GitHub 项目复制的 Microsoft Office 插件，”卡巴斯基在今日发布的一份报告中表示。“officepackage 的描述和内容也取自 GitHub。” 虽然 sourceforge.net 上创建的每个项目都会被分配一个“<project>.sourceforge.io”域名，但这家俄罗斯网络安全公司发现，officepackage 的域名“officepackage.sourceforge[.]io”显示了一个长长的 Microsoft Office 应用程序列表以及相应的下载链接（俄语）。 此外，将鼠标悬停在下载按钮上会在浏览器状态栏中显示一个看似合法的 URL：“loading.sourceforge[.]io/download，给人一种下载链接与 SourceForge 相关联的印象。然而，点击链接会将用户重定向到“taplink[.]cc”上托管的一个完全不同的页面，该页面显著显示了另一个下载按钮。 如果受害者点击下载按钮，他们将收到一个 7 MB 的 ZIP 压缩包（“vinstaller.zip”），打开后包含一个受密码保护的第二个压缩包（“installer.zip”）和一个包含打开文件密码的文本文件。 新的 ZIP 文件中包含一个 MSI 安装程序，该程序负责创建多个文件、一个名为“UnRAR.exe”的控制台归档实用程序、一个 RAR 归档文件以及一个 Visual Basic（VB）脚本。 “VB 脚本运行 PowerShell 解释器以从 GitHub 下载并执行一个名为 confvk 的批处理文件，”卡巴斯基表示。“该文件包含 RAR 归档文件的密码。它还会解压恶意文件并运行下一阶段的脚本。” 该批处理文件还设计为运行两个 PowerShell 脚本，其中一个使用 Telegram API 发送系统元数据。另一个文件下载另一个批处理脚本，然后对 RAR 归档文件的内容进行操作，最终启动矿工和剪贴板恶意软件（即 ClipBanker）载荷。 此外，还会投放 netcat 可执行文件（“ShellExperienceHost.exe”），该文件与远程服务器建立加密连接。不仅如此，confvk 批处理文件被发现创建了另一个名为“ErrorHandler.cmd”的文件，其中包含一个通过 Telegram API 检索并执行文本字符串的 PowerShell 脚本。 该网站具有俄语界面，表明其专注于俄语用户。遥测数据显示，90% 的潜在受害者在俄罗斯，从 1 月初到 3 月下旬，共有 4,604 名用户遭遇了这一骗局。 由于 sourceforge[.]io 页面被搜索引擎索引并出现在搜索结果中，因此相信在 Yandex 上搜索 Microsoft Office 的俄罗斯用户可能是此次攻击的目标。 “随着用户寻求在官方渠道之外下载应用程序的方式，攻击者提供了他们自己的，”卡巴斯基表示。“虽然此次攻击主要针对加密货币，通过部署矿工和 ClipBanker，但攻击者可能会将系统访问权限出售给更危险的行为者。” 这一披露正值该公司透露了一个通过假冒 DeepSeek 人工智能（AI）聊天机器人的欺诈性网站分发名为 TookPS 的恶意软件下载器的活动细节。 这包括像 deepseek-ai-soft[.]com 这样的网站，据 Malwarebytes 称，用户通过赞助的 Google 搜索结果被重定向到该网站。 TookPS 被设计为下载并执行 PowerShell 脚本，这些脚本通过 SSH 为受感染的主机提供远程访问，并投放一个名为 TeviRat 的特洛伊木马的修改版本。这突显了威胁行为者试图通过多种方式获得对受害计算机的完全访问权限。 “该样本 […] 使用 DLL 侧加载来修改和部署 TeamViewer 远程访问软件到受感染的设备上，”卡巴斯基表示。“简单来说，攻击者将一个恶意库放在 TeamViewer 的同一文件夹中，这改变了软件的默认行为和设置，使其对用户隐藏，并为攻击者提供了隐蔽的远程访问。” 这一进展紧随发现针对 RVTools（一个流行的 VMware 工具）的恶意 Google 广告，以投放一个名为 ThunderShell（又名 SMOKEDHAM）的修改版本，这是一个基于 PowerShell 的远程访问工具（RAT），强调了恶意广告仍然是一个持续且不断演变的威胁。 “ThunderShell，有时也被称为 SmokedHam，是一个公开可用的后利用框架，专为红队行动和渗透测试而设计，”Field Effect 表示。“它提供了一个命令和控制（C2）环境，使操作员能够通过基于 PowerShell 的代理在受感染的机器上执行命令。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文