Kaspersky: Hacker sử dụng SourceForge để phân phối phần mềm khai thác trojan

Các nhà nghiên cứu từ "Phòng thí nghiệm Kaspersky" đã thông báo trên blog của họ về một đối tượng tấn công mới nhắm vào người dùng của các ứng dụng văn phòng của Microsoft. Mục tiêu chính là đánh cắp tài sản tiền điện tử, khai thác ẩn trên các thiết bị của nạn nhân và xâm phạm dữ liệu cá nhân.

Theo dữ liệu từ các nhà nghiên cứu, những kẻ xấu đã tạo ra một dự án giả mạo officepackage trên SourceForge, được ngụy trang thành các bổ sung cho ứng dụng văn phòng.

Nền tảng tấn công chính của các máy tính nạn nhân đã trở thành tên miền con được tạo tự động officepackage.sourceforge.io, được các công cụ tìm kiếm, bao gồm "Yandex", lập chỉ mục tốt.

Sau khi nhấp vào liên kết, người dùng sẽ thấy danh sách giả mạo các ứng dụng văn phòng với các nút tải xuống, thực tế khởi động việc lây nhiễm phần mềm độc hại.

Sơ đồ hoạt động thông qua chuỗi chuyển tiếp: sau khi tải xuống tệp zip, người dùng nhận được trình cài đặt có dung lượng 700 MB, cài đặt các phần mềm khai thác tiền điện tử và chương trình ClipBanker để chặn các giao dịch tiền điện tử. Phần mềm độc hại sử dụng các kịch bản ẩn, kiểm tra sự hiện diện của phần mềm diệt virus và gửi dữ liệu về hệ thống đến bot Telegram.

Từ tháng 1 đến tháng 3, các chuyên gia Kaspersky đã ghi nhận hơn 4600 cuộc tấn công, 90% trong số đó xảy ra tại Nga.

Trước đây, các chuyên gia của công ty Kaspersky đã thông báo về mối đe dọa đối với những người sở hữu smartphone trên hệ điều hành Android - phiên bản sửa đổi của virus Trojan Triada. Triada lần đầu tiên được phát hiện vào năm 2016, nhưng vẫn tiếp tục tiến hóa, trở nên ngày càng ẩn giấu và nguy hiểm hơn, các chuyên gia bảo mật của "Phòng thí nghiệm Kaspersky" đã cảnh báo.