網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)，攻擊者正在濫用SourceForge平臺(tái)分發(fā)偽裝成微軟插件的惡意工具，這些工具會(huì)在受害者電腦上安裝同時(shí)具備挖礦和加密貨幣竊取功能的惡意軟件。

SourceForge.net是一個(gè)合法的軟件托管和分發(fā)平臺(tái)，支持版本控制、錯(cuò)誤跟蹤以及專(zhuān)用論壇/維基功能，因此在開(kāi)源項(xiàng)目社區(qū)中非常受歡迎。雖然其開(kāi)放的項(xiàng)目提交模式存在被濫用的風(fēng)險(xiǎn)，但實(shí)際通過(guò)該平臺(tái)分發(fā)惡意軟件的情況較為罕見(jiàn)。

卡巴斯基最新發(fā)現(xiàn)的這場(chǎng)攻擊活動(dòng)已影響超過(guò)4,604臺(tái)系統(tǒng)，其中大部分位于俄羅斯。雖然該惡意項(xiàng)目已從SourceForge下架，但卡巴斯基表示搜索引擎仍保留著項(xiàng)目索引，導(dǎo)致搜索"office插件"等關(guān)鍵詞的用戶(hù)仍可能被引導(dǎo)至惡意頁(yè)面。

搜索引擎結(jié)果中的惡意SourceForge頁(yè)面 來(lái)源：卡巴斯基

偽造的Office插件

這個(gè)名為"officepackage"的項(xiàng)目偽裝成Office插件開(kāi)發(fā)工具集，其描述和文件實(shí)際上是復(fù)制自GitHub上合法的微軟項(xiàng)目"Office-Addin-Scripts"。

惡意項(xiàng)目（左）與合法工具（右）來(lái)源：卡巴斯基

當(dāng)用戶(hù)在谷歌等搜索引擎中查找Office插件時(shí)，結(jié)果會(huì)指向"officepackage.sourceforge.io"——這是SourceForge為項(xiàng)目所有者提供的獨(dú)立網(wǎng)頁(yè)托管功能。該頁(yè)面模仿了正規(guī)開(kāi)發(fā)者工具頁(yè)面，顯示"Office插件"和"下載"按鈕。點(diǎn)擊任何按鈕后，受害者將獲得一個(gè)包含密碼保護(hù)壓縮包(installer.zip)和密碼文本文件的ZIP文件。

分發(fā)惡意軟件的網(wǎng)站 來(lái)源：BleepingComputer

復(fù)雜的感染鏈條

壓縮包內(nèi)含一個(gè)膨脹至700MB的MSI文件(installer.msi)，這種超大體積旨在逃避殺毒軟件掃描。運(yùn)行后會(huì)釋放'UnRAR.exe'和'51654.rar'文件，并執(zhí)行一個(gè)從GitHub獲取批處理腳本(confvk.bat)的Visual Basic腳本。

該腳本會(huì)檢測(cè)運(yùn)行環(huán)境是否為模擬器以及當(dāng)前運(yùn)行的殺毒軟件產(chǎn)品，然后下載另一個(gè)批處理腳本(confvz.bat)并解壓RAR壓縮包。confvz.bat腳本通過(guò)修改注冊(cè)表和添加Windows服務(wù)實(shí)現(xiàn)持久化。

RAR文件包含一個(gè)AutoIT解釋器(Input.exe)、Netcat反向Shell工具(ShellExperienceHost.exe)以及兩個(gè)有效載荷(Icon.dll和Kape.dll)。

完整的感染鏈條 來(lái)源：卡巴斯基

雙重惡意載荷

這兩個(gè)DLL文件分別是加密貨幣挖礦程序和剪貼板劫持器。前者會(huì)劫持計(jì)算機(jī)算力為攻擊者挖掘加密貨幣，后者則監(jiān)控剪貼板中復(fù)制的加密貨幣地址，將其替換為攻擊者控制的地址。

攻擊者還能通過(guò)Telegram API調(diào)用獲取受感染系統(tǒng)的信息，并通過(guò)同一渠道向被攻陷的機(jī)器投送額外有效載荷。這再次證明攻擊者會(huì)利用任何合法平臺(tái)來(lái)獲取虛假可信度并繞過(guò)安全防護(hù)。

安全專(zhuān)家建議用戶(hù)僅從可驗(yàn)證的受信任發(fā)布者處下載軟件，優(yōu)先選擇官方項(xiàng)目渠道（本例中應(yīng)為GitHub），并在運(yùn)行前使用最新殺毒工具掃描所有下載文件。