恶意软件伪装成 Microsoft Office 通过 SourceForge 传播

卡巴斯基实验室的研究人员发现了一场恶意攻击活动，攻击者正在传播一种加密货币挖矿程序和ClipBanker木马，并巧妙地伪装成Microsoft Office应用程序。该恶意软件通过SourceForge平台传播，仅在俄罗斯，受影响的用户数量就已超过4600人。

此次攻击利用了 SourceForge 的一个域名——sourceforge.io。在非官方网站上搜索微软软件的用户可能会被重定向到该域名下的一个项目。该网站声称提供热门 Office 程序的免费下载。点击链接后，用户会被带到一个项目页面，其中列出了所有看似可供下载的 Microsoft Office 应用程序。然而，下载按钮背后隐藏着指向恶意存档文件的超链接。

该档案包含两个组件：一个受密码保护的档案和一个包含密码的文本文档。打开受保护的档案后，一系列下载会将两个恶意负载传送到受害者的计算机。一个是挖矿程序，利用受感染计算机的处理能力来挖掘加密货币。另一个是 ClipBanker 木马，旨在劫持剪贴板内容并替换加密货币钱包地址，从而将资金重新路由给攻击者。值得注意的是，下载内容中不包含任何合法的 Microsoft Office 软件。虽然该活动的主要目的似乎是盗窃和挖矿加密货币，但专家警告称，攻击者随后可能会利用受感染的系统进行其他恶意目的，包括在地下市场上转售。

攻击者利用了SourceForge平台的一个技术细节。在主站点sourceforge.net上创建的每个项目，都会在sourceforge.io上自动分配一个单独的域名和虚拟主机实例。攻击者在sourceforge.net上上传了一个包含Office相关插件的良性项目，同时在sourceforge.io上部署了一个带有Microsoft Office主题的欺骗性页面，其中包含指向恶意软件档案的链接。

安全专家注意到，网络犯罪分子越来越多地使用云存储、代码库和免费托管服务来逃避检测并降低基础设施成本。这些服务使他们能够将恶意内容混入数百万个无害文件中。

分析还突出了第二个存档的一个有趣特征：一个文件大小超过 700 MB。如此夸张的文件大小很可能是为了增加可信度，给人以合法软件安装程序的印象。实际上，该文件使用了一种名为“文件抽取”的技术，即附加无用数据来人为地增加文件大小。实际的恶意负载只有 7 MB。

原文始发于微信公众号（Khan安全团队）：恶意软件伪装成 Microsoft Office 通过 SourceForge 传播