研究人员观察到,威胁行为者通过热门软件托管服务 SourceForge,以Microsoft Office等正版应用程序破解版的名义,分发诸如加密货币挖矿程序和剪切板劫持恶意软件等恶意有效载荷。
卡巴斯基在今日发布的一份报告中称:“在 sourceforge.net 主网站上,有一个名为 officepackage 的项目,乍一看似乎并无危害,它包含从一个合法的 GitHub 项目复制来的 Microsoft Office 插件。”
虽然在 sourceforge.net 上创建的每个项目都会被分配一个 “<项目名>.sourceforge.io” 的域名,但这家俄罗斯网络安全公司发现,officepackage 项目的域名 “officepackage.sourceforge [.] io” 会显示一长串 Microsoft Office 应用程序,以及相应的俄语下载链接。
除此之外,将鼠标悬停在下载按钮上时,浏览器状态栏中会显示一个看似合法的网址:“loading.sourceforge [.] io/download”,这给人一种该下载链接与 SourceForge 相关联的假象。然而,点击该链接会将用户重定向到一个完全不同的页面,该页面托管在 “taplink [.] cc” 上,并且突出显示另一个下载按钮。
如果受害者点击这个下载按钮,就会下载到一个 7 兆字节的 ZIP 压缩文件(“vinstaller.zip”)。打开这个文件后,里面有一个受密码保护的压缩文件(“installer.zip”),以及一个包含打开该文件的密码的文本文件。
在新的 ZIP 文件中,有一个 MSI 安装程序,它负责创建几个文件、一个名为 “UnRAR.exe” 的控制台压缩实用程序、一个 RAR 压缩文件以及一个 Visual Basic(VB)脚本。
卡巴斯基表示:“这个 VB 脚本会运行一个 PowerShell 解释器,从 GitHub 上下载并执行一个名为 confvk 的批处理文件,这个文件包含 RAR 压缩文件的密码。它还会解压恶意文件并运行下一阶段的脚本。”
这个批处理文件还被设计为运行两个 PowerShell 脚本,其中一个会使用 Telegram API 发送系统元数据。另一个文件会下载另一个批处理脚本,该脚本随后会对 RAR 压缩文件的内容进行操作,最终启动挖矿程序和剪切板劫持恶意软件(又名 ClipBanker)有效载荷。
同时被释放的还有 netcat 可执行文件(“ShellExperienceHost.exe”),它会与远程服务器建立加密连接。这还不是全部,研究发现,confvk 批处理文件会创建另一个名为 “ErrorHandler.cmd” 的文件,其中包含一个 PowerShell 脚本,该脚本被编程为通过 Telegram API 检索并执行一个文本字符串。
该网站具有俄语界面这一事实表明,其目标主要是俄语用户。遥测数据显示,90% 的潜在受害者位于俄罗斯,在 1 月初至 3 月底期间,有 4604 名用户遭遇了这一攻击计划。
由于 sourceforge [.] io 页面被搜索引擎索引并出现在搜索结果中,因此据信,在 Yandex 上搜索 Microsoft Office 的俄罗斯用户很可能是这次攻击活动的目标。
卡巴斯基称:“当用户在官方渠道之外寻找下载应用程序的方法时,攻击者就会提供他们自己的版本。虽然这次攻击主要通过部署挖矿程序和 ClipBanker 来针对加密货币,但攻击者可能会将系统访问权限出售给更危险的行为者。”
与此同时,该公司还披露了一起攻击活动的详细信息,攻击者通过模仿 DeepSeek 人工智能(AI)聊天机器人以及远程桌面和 3D 建模软件的欺诈性网站,分发一种名为 TookPS 的恶意软件下载器。
这些欺诈性网站包括 deepseek-ai-soft [.] com 等,毫无防备的用户会通过Google 搜索结果被重定向到这些网站。
TookPS 旨在下载并执行 PowerShell 脚本,通过 SSH 实现对受感染主机的远程访问,并释放一个名为 TeviRat 的木马修改版本。这凸显了威胁行为者试图通过各种方式完全控制受害者计算机的企图。
卡巴斯基表示:“该样本使用 DLL 侧加载技术,将 TeamViewer 远程访问软件修改并部署到受感染设备上。” “简单来说,攻击者将一个恶意库放置在与 TeamViewer 相同的文件夹中,这会改变该软件的默认行为和设置,使其对用户隐藏,并为攻击者提供隐蔽的远程访问权限。”
在此之前,还发现了针对热门的 VMware 实用工具 RVTools 的恶意Google 广告,这些广告会提供一个被篡改的版本,其中植入了 ThunderShell(又名 SMOKEDHAM),这是一种基于 PowerShell 的远程访问工具(RAT),这进一步凸显了恶意广告仍然是一种持续存在且不断演变的威胁。
Field Effect 表示:“ThunderShell,有时也被称为 SmokedHam,是一个公开可用的攻击后利用框架,用于红队演练和渗透测试。它提供了一个命令与控制(C2)环境,允许操作者通过基于 PowerShell 的代理在被攻陷的机器上执行命令。”
发表评论
您还未登录,请先登录。
登录