Kaspersky: 黑客利用 SourceForge 来传播矿工特洛伊病毒

"卡巴斯基实验室"的研究人员在他们的博客中报告了针对微软办公应用用户的新攻击对象。主要目标是窃取加密货币资产、在受害者设备上进行隐秘挖矿以及泄露个人数据。

根据研究人员的说法，罪犯在SourceForge上创建了一个伪造的officepackage项目，伪装成办公应用程序的插件。

受害者计算机的主要攻击平台是自动生成的子域 officepackage.sourceforge.io，该子域在包括“Yandex”在内的搜索引擎中得到了良好的索引。

用户点击链接后，会看到伪造的办公应用程序列表，其中的下载按钮实际上会启动恶意软件的感染。

该方案通过重定向链工作：用户下载 zip 压缩包后，获得一个 700 MB 的安装程序，该程序安装加密矿工和用于拦截加密交易的 ClipBanker 程序。恶意软件使用隐藏脚本，检查是否存在抗病毒软件，并将系统数据发送给 Telegram 机器人。

从1月到3月，Kaspersky的专家记录了4600多起攻击，其中90%发生在俄罗斯。

早前，卡巴斯基公司的专家们警告称，基于Android操作系统的智能手机用户面临威胁——一种修改版的特洛伊病毒Triada。Triada首次被发现于2016年，但它继续演变，变得越来越隐蔽和危险，卡巴斯基实验室的安全专家们发出警告。