Les acteurs de la menace abusent de SourceForge pour distribuer de faux compléments Microsoft qui installent des logiciels malveillants sur les ordinateurs des victimes pour exploiter et voler des crypto-monnaies.
SourceForge.net est une plate-forme légitime d’hébergement et de distribution de logiciels qui prend également en charge le contrôle de version, le suivi des bogues et les forums/wikis dédiés, ce qui la rend très populaire parmi les communautés de projets open source.
Bien que son modèle de soumission de projet ouvert offre de nombreuses marges d’abus, il est rare de voir des logiciels malveillants distribués par son intermédiaire.
La nouvelle campagne repérée par Kaspersky a touché plus de 4 604 systèmes, dont la plupart se trouvent en Russie.
Bien que le projet malveillant ne soit plus disponible sur SourceForge, Kaspersky affirme que le projet a été indexé par les moteurs de recherche, ce qui a généré du trafic provenant d’utilisateurs recherchant des « compléments office » ou similaires.
Faux compléments Office
Le projet » officepackage « se présente comme une collection d’outils de développement de compléments Office, sa description et ses fichiers étant une copie des » Scripts de compléments Office » légitimes de Microsoft Project, disponibles sur GitHub.
Cependant, lorsque les utilisateurs recherchent des compléments Office sur la recherche Google (et d’autres moteurs), ils obtiennent des résultats pointant vers « officepackage.sourceforge.io, » propulsé par une fonctionnalité d’hébergement Web distincte que SourceForge offre aux propriétaires de projets.
Cette page imite une page d’outil de développement légitime, affichant les boutons « Compléments Office » et « Télécharger ». Si l’un d’entre eux est cliqué, la victime reçoit un ZIP contenant une archive protégée par mot de passe (installateur.zip) et un fichier texte avec le mot de passe.
L’archive contient un fichier MSI (installateur.msi) gonflé à 700 Mo pour échapper aux analyses audiovisuelles. En cours d’exécution, il tombe ‘ UnRAR.exe et 51654.rar, ‘ et exécute un script Visual Basic qui récupère un script batch (confvk.bat) à partir de GitHub.
Le script effectue des vérifications pour déterminer s’il s’exécute sur un environnement simulé et quels produits antivirus sont actifs, puis télécharge un autre script batch (confvz.bat) et décompresse l’archive RAR.
La conférence.bat script établit la persistance via des modifications du registre et l’ajout de services Windows.
Le fichier RAR contient un interpréteur AutoIt (Entrée.exe), l’outil shell inverse Netcat (ShellExperienceHost.exe), et deux charges utiles (Icône.dll et Kape.dll).
Les fichiers DLL sont un mineur de crypto-monnaie et une tondeuse. Le premier détourne la puissance de calcul de la machine pour exploiter la crypto-monnaie pour le compte de l’attaquant, et le second surveille le presse-papiers pour les adresses de crypto-monnaie copiées et les remplace par des adresses contrôlées par l’attaquant.
L’attaquant reçoit également les informations du système infecté via des appels d’API Telegram et peut utiliser le même canal pour introduire des charges utiles supplémentaires sur la machine compromise.
Cette campagne est un autre exemple d’acteurs de la menace exploitant toute plate-forme légitime pour obtenir une fausse légitimité et contourner les protections.
Il est recommandé aux utilisateurs de ne télécharger que des logiciels d’éditeurs de confiance qu’ils peuvent vérifier, de préférer les canaux officiels du projet (dans ce cas GitHub) et d’analyser tous les fichiers téléchargés avec un outil audiovisuel à jour avant l’exécution.