Ψεύτικα πρόσθετα Microsoft Office ωθούν malware μέσω του SourceForge
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Ψεύτικα πρόσθετα Microsoft Office ωθούν malware μέσω του SourceForge
https://www.secnews.gr/645745/pseftika-prostheta-microsoft-office-othoun-malware-meso-sourceforge/
Apr 9th 2025, 11:35
by Absenta Mia
Οι κακόβουλοι χρήστες εκμεταλλεύονται το SourceForge για να διανέμουν ψεύτικα πρόσθετα Microsoft Office, τα οποία εγκαθιστούν malware στους υπολογιστές των θυμάτων, με σκοπό την εξόρυξη και κλοπή κρυπτονομισμάτων.
Δείτε επίσης: Η Microsoft κυκλοφόρησε το Patch Tuesday Απριλίου 2025
Το SourceForge.net είναι μια νόμιμη πλατφόρμα φιλοξενίας και διανομής λογισμικού που υποστηρίζει επίσης τον έλεγχο εκδόσεων, την παρακολούθηση σφαλμάτων και αφιερωμένα φόρουμ/βικιπαίδειες, γεγονός που την καθιστά πολύ δημοφιλή στις κοινότητες έργων ανοιχτού κώδικα. Παρά το γεγονός ότι το μοντέλο υποβολής ανοιχτών έργων προσφέρει αρκετές δυνατότητες κακής χρήσης, η διανομή κακόβουλου λογισμικού μέσω αυτής είναι σπάνια.
Η νέα καμπάνια που εντόπισε η Kaspersky έχει επηρεάσει πάνω από 4.604 συστήματα, τα περισσότερα εκ των οποίων βρίσκονται στη Ρωσία. Αν και το κακόβουλο έργο δεν είναι πλέον διαθέσιμο στο SourceForge, η Kaspersky αναφέρει ότι το έργο είχε καταχωρηθεί από τις μηχανές αναζήτησης, προσελκύοντας επισκεψιμότητα από χρήστες που αναζητούσαν "πρόσθετα Office" ή παρόμοιες φράσεις.
Το έργο "officepackage" παρουσιάζεται ως μια συλλογή εργαλείων ανάπτυξης Office Add-in, με την περιγραφή και τα αρχεία του να είναι αντιγραφή του νόμιμου έργου της Microsoft 'Office-Addin-Scripts,' το οποίο είναι διαθέσιμο στο GitHub.
Ωστόσο, όταν οι χρήστες αναζητούν office add-ins μέσω της Google (και άλλων μηχανών αναζήτησης), λαμβάνουν αποτελέσματα που οδηγούν στο "officepackage.sourceforge.io," το οποίο φιλοξενείται από μια ξεχωριστή δυνατότητα web hosting που παρέχει το SourceForge στους ιδιοκτήτες έργων. Αυτή η σελίδα μιμείται μια νόμιμη σελίδα εργαλείων προγραμματιστών, εμφανίζοντας τα κουμπιά "Office Add-ins" και "Λήψη." Εάν κάποιος από αυτά τα κουμπιά πατηθεί, το θύμα λαμβάνει ένα ZIP που περιέχει ένα αρχείο με κωδικό πρόσβασης (installer.zip) και ένα αρχείο κειμένου με τον κωδικό πρόσβασης.
Δείτε ακόμα: Κακόβουλες εφαρμογές OAuth στοχεύουν Microsoft 365 accounts
Το αρχείο περιέχει ένα αρχείο MSI (installer.msi) με μέγεθος 700MB, σχεδιασμένο να αποφεύγει τις σάρωσεις από antivirus. Η εκτέλεσή του δημιουργεί τα αρχεία 'UnRAR.exe' και '51654.rar', και εκτελεί ένα script Visual Basic που κατεβάζει ένα batch script (confvk.bat) από το GitHub.
Ψεύτικα πρόσθετα Microsoft Office ωθούν malware μέσω του SourceForge
Το script αυτό πραγματοποιεί ελέγχους για να διαπιστώσει αν εκτελείται σε προσομοιωμένο περιβάλλον και ποια antivirus προϊόντα είναι ενεργά, και στη συνέχεια κατεβάζει ένα άλλο batch script (confvz.bat) και αποσυμπιέζει το αρχείο RAR.
Το script confvz.bat εξασφαλίζει μόνιμη παρουσία μέσω τροποποιήσεων στο μητρώο και προσθήκης υπηρεσιών Windows.
Το αρχείο RAR περιέχει έναν διερμηνέα AutoIT (Input.exe), το εργαλείο reverse shell Netcat (ShellExperienceHost.exe) και δύο payloads (Icon.dll και Kape.dll).
Τα αρχεία DLL λειτουργούν ως εξορυκτές κρυπτονομισμάτων και ως clipper. Ο πρώτος τύπος εκμεταλλεύεται τη υπολογιστική ισχύ της μηχανής για να εξορύξει κρυπτονόμισμα προς όφελος του επιτιθέμενου, ενώ ο δεύτερος παρακολουθεί το πρόχειρο για διευθύνσεις κρυπτονομισμάτων που έχουν αντιγραφεί και τις αντικαθιστά με διευθύνσεις που ελέγχονται από τον επιτιθέμενο.
Ο επιτιθέμενος αποκτά επίσης πληροφορίες από το μολυσμένο σύστημα μέσω κλήσεων API του Telegram και μπορεί να χρησιμοποιήσει την ίδια διαδρομή για να εισάγει επιπλέον κακόβουλα φορτία στη παραβιασμένη μηχανή.
Η εκστρατεία malware που εκμεταλλεύεται το SourceForge, αποτελεί ένα ακόμη παράδειγμα του πώς οι κακόβουλοι παράγοντες εκμεταλλεύονται οποιαδήποτε νόμιμη πλατφόρμα για να αποκτήσουν ψευδή νομιμότητα και να παρακάμψουν τις προστασίες.
Δείτε επίσης: Microsoft Patch Tuesday Μαρτίου 2025: Διορθώνει 57 ευπάθειες
Η προστασία από κακόβουλο λογισμικό (malware) είναι πολύ σημαντική για τη διασφάλιση της ασφάλειας του υπολογιστή σας και των προσωπικών σας δεδομένων. Ακολουθούν μερικά βασικά βήματα που μπορείτε να ακολουθήσετε για να προστατευτείτε από το malware:
• Ενημερώστε τα προγράμματα και το λειτουργικό σύστημα
• Χρησιμοποιήστε αξιόπιστο antivirus/antimalware
• Αποφύγετε τη λήψη αμφίβολων αρχείων και συνδέσμων
• Χρησιμοποιήστε τείχος προστασίας (firewall)
• Προσοχή στις αναβαθμίσεις λογισμικού
• Αξιολόγηση των δικαιωμάτων εφαρμογών και επεκτάσεων
• Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης και επαλήθευση δύο παραμέτρων (2FA)
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Ψεύτικα πρόσθετα Microsoft Office ωθούν malware μέσω του SourceForge
https://www.secnews.gr/645745/pseftika-prostheta-microsoft-office-othoun-malware-meso-sourceforge/
Apr 9th 2025, 11:35
by Absenta Mia
Οι κακόβουλοι χρήστες εκμεταλλεύονται το SourceForge για να διανέμουν ψεύτικα πρόσθετα Microsoft Office, τα οποία εγκαθιστούν malware στους υπολογιστές των θυμάτων, με σκοπό την εξόρυξη και κλοπή κρυπτονομισμάτων.
Δείτε επίσης: Η Microsoft κυκλοφόρησε το Patch Tuesday Απριλίου 2025
Το SourceForge.net είναι μια νόμιμη πλατφόρμα φιλοξενίας και διανομής λογισμικού που υποστηρίζει επίσης τον έλεγχο εκδόσεων, την παρακολούθηση σφαλμάτων και αφιερωμένα φόρουμ/βικιπαίδειες, γεγονός που την καθιστά πολύ δημοφιλή στις κοινότητες έργων ανοιχτού κώδικα. Παρά το γεγονός ότι το μοντέλο υποβολής ανοιχτών έργων προσφέρει αρκετές δυνατότητες κακής χρήσης, η διανομή κακόβουλου λογισμικού μέσω αυτής είναι σπάνια.
Η νέα καμπάνια που εντόπισε η Kaspersky έχει επηρεάσει πάνω από 4.604 συστήματα, τα περισσότερα εκ των οποίων βρίσκονται στη Ρωσία. Αν και το κακόβουλο έργο δεν είναι πλέον διαθέσιμο στο SourceForge, η Kaspersky αναφέρει ότι το έργο είχε καταχωρηθεί από τις μηχανές αναζήτησης, προσελκύοντας επισκεψιμότητα από χρήστες που αναζητούσαν "πρόσθετα Office" ή παρόμοιες φράσεις.
Το έργο "officepackage" παρουσιάζεται ως μια συλλογή εργαλείων ανάπτυξης Office Add-in, με την περιγραφή και τα αρχεία του να είναι αντιγραφή του νόμιμου έργου της Microsoft 'Office-Addin-Scripts,' το οποίο είναι διαθέσιμο στο GitHub.
Ωστόσο, όταν οι χρήστες αναζητούν office add-ins μέσω της Google (και άλλων μηχανών αναζήτησης), λαμβάνουν αποτελέσματα που οδηγούν στο "officepackage.sourceforge.io," το οποίο φιλοξενείται από μια ξεχωριστή δυνατότητα web hosting που παρέχει το SourceForge στους ιδιοκτήτες έργων. Αυτή η σελίδα μιμείται μια νόμιμη σελίδα εργαλείων προγραμματιστών, εμφανίζοντας τα κουμπιά "Office Add-ins" και "Λήψη." Εάν κάποιος από αυτά τα κουμπιά πατηθεί, το θύμα λαμβάνει ένα ZIP που περιέχει ένα αρχείο με κωδικό πρόσβασης (installer.zip) και ένα αρχείο κειμένου με τον κωδικό πρόσβασης.
Δείτε ακόμα: Κακόβουλες εφαρμογές OAuth στοχεύουν Microsoft 365 accounts
Το αρχείο περιέχει ένα αρχείο MSI (installer.msi) με μέγεθος 700MB, σχεδιασμένο να αποφεύγει τις σάρωσεις από antivirus. Η εκτέλεσή του δημιουργεί τα αρχεία 'UnRAR.exe' και '51654.rar', και εκτελεί ένα script Visual Basic που κατεβάζει ένα batch script (confvk.bat) από το GitHub.
Ψεύτικα πρόσθετα Microsoft Office ωθούν malware μέσω του SourceForge
Το script αυτό πραγματοποιεί ελέγχους για να διαπιστώσει αν εκτελείται σε προσομοιωμένο περιβάλλον και ποια antivirus προϊόντα είναι ενεργά, και στη συνέχεια κατεβάζει ένα άλλο batch script (confvz.bat) και αποσυμπιέζει το αρχείο RAR.
Το script confvz.bat εξασφαλίζει μόνιμη παρουσία μέσω τροποποιήσεων στο μητρώο και προσθήκης υπηρεσιών Windows.
Το αρχείο RAR περιέχει έναν διερμηνέα AutoIT (Input.exe), το εργαλείο reverse shell Netcat (ShellExperienceHost.exe) και δύο payloads (Icon.dll και Kape.dll).
Τα αρχεία DLL λειτουργούν ως εξορυκτές κρυπτονομισμάτων και ως clipper. Ο πρώτος τύπος εκμεταλλεύεται τη υπολογιστική ισχύ της μηχανής για να εξορύξει κρυπτονόμισμα προς όφελος του επιτιθέμενου, ενώ ο δεύτερος παρακολουθεί το πρόχειρο για διευθύνσεις κρυπτονομισμάτων που έχουν αντιγραφεί και τις αντικαθιστά με διευθύνσεις που ελέγχονται από τον επιτιθέμενο.
Ο επιτιθέμενος αποκτά επίσης πληροφορίες από το μολυσμένο σύστημα μέσω κλήσεων API του Telegram και μπορεί να χρησιμοποιήσει την ίδια διαδρομή για να εισάγει επιπλέον κακόβουλα φορτία στη παραβιασμένη μηχανή.
Η εκστρατεία malware που εκμεταλλεύεται το SourceForge, αποτελεί ένα ακόμη παράδειγμα του πώς οι κακόβουλοι παράγοντες εκμεταλλεύονται οποιαδήποτε νόμιμη πλατφόρμα για να αποκτήσουν ψευδή νομιμότητα και να παρακάμψουν τις προστασίες.
Δείτε επίσης: Microsoft Patch Tuesday Μαρτίου 2025: Διορθώνει 57 ευπάθειες
Η προστασία από κακόβουλο λογισμικό (malware) είναι πολύ σημαντική για τη διασφάλιση της ασφάλειας του υπολογιστή σας και των προσωπικών σας δεδομένων. Ακολουθούν μερικά βασικά βήματα που μπορείτε να ακολουθήσετε για να προστατευτείτε από το malware:
• Ενημερώστε τα προγράμματα και το λειτουργικό σύστημα
• Χρησιμοποιήστε αξιόπιστο antivirus/antimalware
• Αποφύγετε τη λήψη αμφίβολων αρχείων και συνδέσμων
• Χρησιμοποιήστε τείχος προστασίας (firewall)
• Προσοχή στις αναβαθμίσεις λογισμικού
• Αξιολόγηση των δικαιωμάτων εφαρμογών και επεκτάσεων
• Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης και επαλήθευση δύο παραμέτρων (2FA)
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια