Recentemente, è stata scoperta una campagna di distribuzione di malware tramite SourceForge, un noto servizio di hosting software. I criminali informatici stanno diffondendo un miner di criptovalute e un malware clipper attraverso la pubblicazione di versioni craccate di software legittimi come Microsoft Office. Questo attacco è stato dettagliatamente analizzato in un rapporto di Kaspersky.

Progetto "officepackage"

Uno dei progetti incriminati si chiama "officepackage" e si presenta come un insieme innocuo di componenti aggiuntivi per Microsoft Office. Tuttavia, il sito associato a "officepackage" su SourceForge mostra un elenco di applicazioni Microsoft Office con link per il download in russo. Un click sul pulsante di download reindirizza l'utente a una pagina web diversa, ospitata su "taplink.cc", che invita ulteriormente al download.

Una volta che la vittima clicca sul pulsante di download, viene servito un file ZIP di 7 MB contenente un archivio protetto da password e un file di testo con la password stessa. All'interno dell'archivio c'è un installer MSI che estrae diversi file, tra cui un'utilità di archivio console denominata "UnRAR.exe", un archivio RAR e uno script Visual Basic (VB).

Funzionamento dello script malware

Lo script VB esegue un interprete PowerShell per scaricare ed eseguire un file batch da GitHub. Questo file batch contiene la password per l'archivio RAR e avvia l'esecuzione di script successivi. Uno di questi script invia metadati di sistema tramite l'API di Telegram, mentre un altro file batch scarica ulteriori script che attivano i payload del miner e del clipper malware.

Obiettivo e impatto

Il malware clipper, noto anche come ClipBanker, viene utilizzato per sostituire gli indirizzi di portafoglio delle criptovalute copiati negli appunti con quelli controllati dagli attaccanti, rubando così le transazioni. Inoltre, viene inserito un eseguibile netcat che stabilisce una connessione crittografata con un server remoto.

Questo attacco sembra essere mirato principalmente agli utenti di lingua russa, con il 90% delle vittime potenziali situate in Russia. Secondo i dati di telemetria, 4.604 utenti sono stati esposti a questo schema tra gennaio e marzo.

Altre campagne di malware

La scoperta di questa campagna di malware si accompagna alla rivelazione di un'altra campagna che distribuisce un downloader di malware chiamato TookPS attraverso siti fraudolenti che impersonano il chatbot DeepSeek AI e altri software. Questo evidenzia come le minacce di malvertising siano in continua evoluzione, sfruttando annunci Google malevoli per diffondere malware come ThunderShell, uno strumento di accesso remoto basato su PowerShell.