Aktor ancaman telah diamati mendistribusikan muatan berbahaya seperti cryptocurrency Miner dan Clipper malware melalui SourceForge, layanan hosting perangkat lunak populer, dengan kedok versi retak aplikasi yang sah seperti Microsoft Office.
“Salah satu proyek tersebut, OfficePackage, di situs web utama SourceForge.net, tampak cukup berbahaya, berisi add-in Microsoft Office yang disalin dari proyek Github yang sah,” kata Kaspersky dalam sebuah laporan yang diterbitkan hari ini. “Deskripsi dan isi OfficePackage yang disediakan di bawah ini juga diambil dari GitHub.”
Sementara setiap proyek yang dibuat di SourceForge.net akan ditugaskan A “
Selain itu, melayang di atas tombol unduh mengungkapkan URL yang tampaknya sah di bilah status browser: “Memuat. SourceForge[.]IO/Unduh, memberi kesan bahwa tautan unduhan dikaitkan dengan SourceForge. Namun, mengklik tautan mengarahkan pengguna ke halaman yang sama sekali berbeda yang dihosting di “taplink[.]CC “Itu dengan jelas menampilkan tombol unduhan lain.
Jika korban mengklik tombol unduh, mereka dilayani arsip ZIP 7 MB (“vinstaller.zip”), yang, bila dibuka, berisi arsip yang dilindungi kata sandi kedua (“installer.zip”) dan file teks dengan kata sandi untuk membuka file.
Hadir dalam file zip baru adalah pemasang MSI yang bertanggung jawab untuk membuat beberapa file, utilitas arsip konsol yang disebut “UNRAR.exe,” arsip RAR, dan skrip Visual Basic (VB).
“Skrip VB menjalankan interpreter PowerShell untuk mengunduh dan menjalankan file batch, confvk, dari GitHub,” kata Kaspersky. “File ini berisi kata sandi untuk arsip RAR. Ini juga membongkar file jahat dan menjalankan skrip tahap berikutnya.”
File batch juga dirancang untuk menjalankan dua skrip PowerShell, salah satunya mengirimkan metadata sistem menggunakan API telegram. File lain mengunduh skrip batch lain yang kemudian bertindak berdasarkan konten arsip RAR, yang pada akhirnya meluncurkan muatan penambang dan clipper malware (alias clipbanker).
Juga dijatuhkan adalah NetCAT yang dapat dieksekusi (“Shellexperienchost.exe”) yang membuat koneksi terenkripsi dengan server jarak jauh. Bukan itu saja. File batch confVK telah ditemukan untuk membuat file lain bernama “errorhandler.cmd” yang berisi skrip PowerShell yang diprogram untuk mengambil dan menjalankan string teks melalui API telegram.
Fakta bahwa situs web tersebut memiliki antarmuka Rusia menunjukkan fokus pada pengguna berbahasa Rusia. Data telemetri menunjukkan bahwa 90% korban potensial berada di Rusia, dengan 4.604 pengguna menghadapi skema antara awal Januari dan akhir Maret.
Dengan SourceForge[.]Halaman IO diindeks oleh mesin pencari dan muncul dalam hasil pencarian, diyakini bahwa pengguna Rusia yang mencari Microsoft Office di Yandex kemungkinan menjadi target kampanye.
“Ketika pengguna mencari cara untuk mengunduh aplikasi di luar sumber resmi, penyerang menawarkannya sendiri,” kata Kaspersky. “Sementara serangan itu terutama menargetkan cryptocurrency dengan menggunakan penambang dan clipbanker, para penyerang dapat menjual akses sistem ke aktor yang lebih berbahaya.”
Pengungkapan itu datang ketika perusahaan mengungkapkan rincian kampanye yang mendistribusikan pengunduh malware bernama TakeSPS melalui situs penipuan yang menyamar sebagai chatbot intelijen buatan (AI), serta perangkat lunak desktop jarak jauh dan pemodelan 3D.
Ini termasuk situs web seperti Deepseek-ai-soft[.]com, yang diarahkan oleh pengguna yang tidak curiga melalui hasil pencarian Google yang disponsori, per malwarebytes.
TUCKPS direkayasa untuk mengunduh dan mengeksekusi skrip PowerShell yang memberikan akses jarak jauh ke host yang terinfeksi melalui SSH, dan menjatuhkan versi modifikasi Trojan yang dijuluki Tevirat. Ini menyoroti upaya aktor ancaman untuk mendapatkan akses lengkap ke komputer korban dalam berbagai cara.
“Sampel […] Menggunakan DLL Sideloading untuk memodifikasi dan menggunakan perangkat lunak Access Jarak Jauh TeamViewer ke perangkat yang terinfeksi, “kata Kaspersky.” Dalam istilah sederhana, para penyerang menempatkan perpustakaan jahat di folder yang sama dengan TeamViewer, yang mengubah perilaku dan pengaturan default perangkat lunak, menyembunyikannya dari pengguna dan menyediakan penyerang dengan akses jarak jauh. “
Perkembangan ini juga mengikuti penemuan iklan Google berbahaya untuk RVTools, utilitas VMware yang populer, untuk memberikan versi yang dirusak yang dipenuhi dengan Thundershell (alias Smokedham), alat akses jarak jauh yang berbasis PowerShell (tikus), menggarisbawahi bagaimana malversi tetap menjadi ancaman yang terus-menerus dan berevolusi.
“Thundershell, kadang-kadang disebut Smokedham, adalah kerangka kerja pasca eksploitasi yang tersedia untuk umum yang dirancang untuk pengujian tim merah dan penetrasi,” kata Field Effect. “Ini menyediakan lingkungan perintah-dan-kontrol (C2) yang memungkinkan operator untuk melaksanakan perintah pada mesin yang dikompromikan melalui agen berbasis PowerShell.”
