网络犯罪分子设计出了一种复杂的诈骗方案,利用广受欢迎的软件托管平台 Sourceforge 来分发伪装成合法办公应用程序的恶意软件。
此次攻击利用了该平台会自动为项目分配 sourceforge.io 域名这一特性,为主要针对说俄语用户的恶意软件分发活动打造出了极具迷惑性的伪装。
攻击者在 sourceforge.net 上创建了一个名为 “officepackage” 的项目,其中包含从一个合法的 GitHub 项目中复制而来的看似无害的微软办公软件(Microsoft Office)加载项。
然而,当用户访问对应的 officepackage.sourceforge.io 域名时,他们看到的是一个不同的界面,上面展示着一长串看上去很正规的办公应用程序列表以及下载按钮。
这些按钮会重定向到一个看似合法的 SourceForge 下载网址(loading.sourceforge.io/download),这进一步增强了欺骗性。
Securelist的研究人员指出,点击这些按钮最终会下载一个大小约为 7 兆字节的压缩存档文件(vinstaller.zip)。
如此小的文件大小应该立刻引起怀疑,因为即使经过压缩,合法的办公应用程序通常也需要大得多的存储空间。
恶意软件的分发者在整个感染链条中采用了多层欺骗手段。
最初下载的是一个受密码保护的存档文件,而密码则很 “贴心” 地提供在了一个附带的文本文件中。
这种手段常常能绕过那些无法扫描受密码保护存档文件的安全防护方案。一旦解压,用户会发现一个名为 installer.msi 的文件,这个文件通过填充空字节被人为地膨胀到了 700 多兆字节,制造出这是一个合法软件包的假象。
复杂的感染机制
感染过程包含多个旨在逃避检测的阶段。当安装程序被执行时,它会解压出几个文件,包括 UnRAR.exe 和一个受密码保护的存档文件(51654.rar)。
然后,恶意软件会执行嵌入的 Visual Basic 脚本,从 GitHub 上下载一个批处理文件(confvk),该文件包含存档文件的密码。这个批处理文件会进行反分析检查,搜索安全软件、虚拟环境和研究工具。
chcp 65001 >nul
setlocal EnableDelayedExpansion
set “TOKEN=7604003483:AAGGIo6lbNlshSjnvsGlw7OmBjLBc4r55FA”
set “CHAT_ID=5674938532”
set “IP=Unknown”
set “Country=Unknown”
一旦解压,恶意软件就会建立多种实现持续驻留的机制,包括创建 Windows 服务、修改注册表以及设置计划任务。
最终的恶意负载由两个恶意组件构成:一个是加密货币挖矿程序,另一个是 ClipBanker 木马程序,它会将用户剪贴板中的加密货币钱包地址替换为攻击者自己的地址,从而在受害者毫不知情的情况下有效地劫持交易。
发表评论
您还未登录,请先登录。
登录