打開網(wǎng)易新聞 查看精彩圖片

據(jù)了解，威脅者正在濫用 SourceForge 分發(fā)假冒的微軟插件，這些插件會(huì)在受害者的電腦上安裝惡意軟件，以同時(shí)挖掘和竊取加密貨幣。

SourceForge.net 是一個(gè)合法的軟件托管和分發(fā)平臺(tái)，還支持版本控制、錯(cuò)誤跟蹤以及專門的論壇/維基，因此在開源項(xiàng)目社區(qū)中非常受歡迎。

盡管其開放的項(xiàng)目提交模式為惡意行為留下了很大的空間，但實(shí)際上通過它傳播惡意軟件的情況卻極為罕見。

卡巴斯基發(fā)現(xiàn)的新一輪攻擊已影響到超過 4604 臺(tái)系統(tǒng)，其中大部分位于俄羅斯。

盡管惡意項(xiàng)目已不在 SourceForge 上，但卡巴斯基表示，該項(xiàng)目已被搜索引擎收錄，吸引了搜索“辦公插件”或類似內(nèi)容的用戶訪問。

打開網(wǎng)易新聞 查看精彩圖片

源代碼托管網(wǎng)站 SourceForge 上的惡意軟件出現(xiàn)在搜索結(jié)果中

打開網(wǎng)易新聞 查看精彩圖片

“officepackage”項(xiàng)目是一個(gè)Office插件開發(fā)工具的集合，其描述和文件是GitHub上合法的微軟項(xiàng)目“Office-addin-scripts”的副本。

打開網(wǎng)易新聞 查看精彩圖片

惡意項(xiàng)目（左）和合法工具（右）

然而，當(dāng)用戶在谷歌search（和其他引擎）上搜索office插件時(shí)，他們得到的結(jié)果指向“officpackage .sourceforge”。由SourceForge提供給項(xiàng)目所有者的單獨(dú)的web托管功能提供支持。

該頁面模仿了一個(gè)合法的開發(fā)者工具頁面，顯示了“Office插件”和“下載”按鈕。如果單擊任何一個(gè)，受害者將收到一個(gè)包含密碼保護(hù)的歸檔文件（installer.zip）和帶有密碼的文本文件的ZIP文件。

打開網(wǎng)易新聞 查看精彩圖片

散布惡意軟件的網(wǎng)站

該歸檔文件包含一個(gè)MSI文件（installer.msi），其大小膨脹到700MB，以逃避AV掃描。運(yùn)行它會(huì)刪除‘UnRAR.exe’和‘51654.rar ’，并執(zhí)行一個(gè)Visual Basic腳本，從GitHub獲取批處理腳本（confvk.bat）。

該腳本執(zhí)行檢查，以確定它是否在模擬環(huán)境中運(yùn)行，以及哪些防病毒產(chǎn)品處于活動(dòng)狀態(tài)，然后下載另一個(gè)批處理腳本（confvz.bat）并解壓縮RAR歸檔文件。

bat腳本通過修改注冊(cè)表和添加Windows服務(wù)來建立持久性。

RAR文件包含一個(gè)AutoIT解釋器（Input.exe）， Netcat反向shell工具（ShellExperienceHost.exe）和兩個(gè)有效負(fù)載（Icon.dll和Kape.dll）。

打開網(wǎng)易新聞 查看精彩圖片

完整的感染鏈

DLL文件是一個(gè)加密貨幣礦工和一個(gè)剪刀。前者劫持機(jī)器的計(jì)算能力，為攻擊者的賬戶挖掘加密貨幣，后者監(jiān)控剪貼板上復(fù)制的加密貨幣地址，并將其替換為攻擊者控制的地址。

攻擊者還通過Telegram API調(diào)用接收受感染系統(tǒng)的信息，并可以使用相同的通道向受感染的機(jī)器引入額外的有效負(fù)載。

這次活動(dòng)是威脅者利用任何合法平臺(tái)獲得虛假合法性和繞過保護(hù)的另一個(gè)例子。所以建議用戶應(yīng)從可信的出版商那里下載軟件，并在執(zhí)行之前使用最新的反病毒工具掃描所有下載的文件。

參考及來源：https://www.bleepingcomputer.com/news/security/fake-microsoft-office-add-in-tools-push-malware-via-sourceforge/