Os cibercriminosos estão visando usuários de criptografia, explorando o Sourceforge, uma conhecida plataforma de software de código aberto.
De acordo com especialistas em segurança em Kasperskyatacantes maliciosos carregam falso Microsoft Instaladores de escritório repletos de malware oculto, incluindo mineiros de criptografia e seqüestradores de área de transferência, para enganar usuários desavisados.
Eles observaram que, embora as páginas do projeto Sourceforge pareçam legítimas, o perigo está em seus subdomínios gerados automaticamente. Em um exemplo, o mecanismo de pesquisa de Yandex da Rússia indexou um domínio falso, levando os usuários desavisados a uma página cheia de ferramentas de escritório falsificadas e botões de download.
Os dados da Kaspersky indicam que mais de 4.600 incidentes foram registrados no primeiro trimestre de 2025, com 90% dos usuários afetados na Rússia.
Não ficou claro se esse ataque levou a perdas financeiras significativas para os usuários de criptografia.
O ataque
Nesse ataque, os hackers carregam software armas para as páginas do projeto da Sourceforge. Essas páginas imitam ferramentas relacionadas ao escritório legítimo, mas os instaladores contêm scripts incorporados que fornecem cargas prejudiciais.
A armadilha começa com um pequeno arquivo de arquivo chamado vinstaller.zipapenas cerca de 7 MB. Isso é suspeito, pois o software de escritório genuíno é significativamente maior – mesmo quando comprimido.
No entanto, uma vez que o arquivo é descompactado, ele balança em um instalador de 700 MB embalado com scripts ocultos. Esses scripts buscam arquivos adicionais silenciosamente do GitHub e examinam o sistema em busca de ferramentas antivírus.
Se nenhuma proteção for detectada, o instalador carregará o software de mineração de criptografia e um clipbanker Trojan.
De acordo com a postagem do blog:
“O Clipbanker é uma família de malware que substitui os endereços da carteira de criptomoeda na prancheta pelo próprio atacante. Usuários de carteiras de criptografia normalmente copiam endereços em vez de digitá -los.
Ao mesmo tempo, um dos scripts envia informações do usuário para um bot de telegrama, dando ao hacker acesso total a dados confidenciais.
Esta campanha destaca como os hackers aproveitam as plataformas confiáveis para ignorar os sistemas de segurança e Espalhe malware em escala.
