随着网络安全形势的不断变化,SourceForge作为开源软件和项目开发者的重要平台,近来被黑客利用,将其转变为传播恶意软件的渠道。根据Kaspersky Labs的最新发现,攻击者开始利用SourceForge向用户传播一种结合了ClipBanker木马和加密货币矿工的复杂恶意软件,这一行动藏身于一个伪装成微软Office增强套件的项目中。
攻击活动最初呈现的是在sourceforge.net上的一个合法项目,名为“officepackage”,该项目实际上是从真实的微软Office附加组件的GitHub仓库中克隆而来。然而,攻击者在暗中设置了一个伪装域名——officepackage.sourceforge[.]io,与主项目页面不同,该页面提供了“带有版本号和‘下载’按钮的庞大办公应用列表”。
通过点击“下载”按钮,用户将启动一个多阶段的感染链,包含膨胀的安装程序、嵌入的脚本、密码保护的归档文件以及PowerShell脚本,所有这些元素都经过精心设计,旨在欺骗用户并逃避安全工具。“点击该按钮后,最终会下载一个名为vinstaller.zip的约七兆字节的归档文件,”Kaspersky报告指出。“这引发了一些警示,因为即使压缩后,办公软件也不会这么小。”
一旦打开,vinstaller.zip文件将包含另一个归档文件及一个带密码的Readme.txt。在文件内,有一个可疑的超大.msi文件,大小超过700MB,其大小通过填充零字节进行了人为膨胀。当执行该安装程序时,它将部署一个Visual Basic脚本,该脚本从GitHub下载一个批处理文件(confvk)。该批处理文件会检查环境中是否存在分析工具或杀毒软件,然后继续解压一个隐藏的RAR档案。
其中一个PowerShell脚本通过Telegram API收集并外泄系统数据,而另一个(confvz)则为持续的恶意软件执行铺平了道路,而这便是事态变得更加阴暗的地方。恶意软件的核心是两个封装在DLL文件中的AutoIt脚本:Icon.dll将加密货币矿工注入系统,Kape.dll则提供ClipBanker,它默默地劫持剪贴板内容,将复制的加密货币钱包地址替换为攻击者自己的地址。“主要的恶意行为……归结为运行两个AutoIt脚本,”报告指出。“ClipBanker……将剪贴板中的加密货币钱包地址替换为攻击者的地址。”
除了这些,RAR档案中还包含了ShellExperienceHost.exe,这是一个重命名后的Netcat工具,通过445端口与感染的系统建立加密的远程命令行访问。恶意程序的创建者通过令人震惊的数组持久性机制确保了其长久性:在App Paths下的注册表劫持将常见命令(如install.exe)重定向到恶意批处理脚本;以误导性名称(如NetworkConfiguration和PerformanceMonitor)创建的Windows服务;每隔80秒(备份为300秒)重新触发恶意软件的WMIC事件过滤器;对Windows的ErrorHandler.cmd脚本的创造性滥用——这个本应用于操作系统故障诊断的脚本反而被用作自动启动基于PowerShell的后门。
“这基本上创建了一个远程命令行,作为C2服务器的地址为apap[.]app:445,”研究人员指出。虽然此次攻击具有全球影响,但大多数受害者似乎来自讲俄语地区。来自Kaspersky的遥测数据显示,“90%的潜在受害者都在俄罗斯,自1月初至3月底,有4604名用户接触到了这一方案。”这表明一种故意的目标策略——利用搜索引擎优化、熟悉的语言和伪合法软件来增加感染的可能性。
网络安全专家们提醒,用户在下载任何软件时应保持高度警惕,尤其是在知名平台上,这些平台虽然提供了便利,但也可能成为网络犯罪分子的温床。受攻击的对象多为未采取适当防护措施的用户,因此,及时更新安全软件、对下载文件进行仔细审查,乃至紧急采取安全措施,将是确保个人信息安全的关键。
随着网络犯罪技术的不断进步,公众对网络安全的重视显得尤为重要。SourceForge如今的困境则是一个警示,提醒所有互联网用户这是一个充满挑战的新环境,特别是在软件开发和分发领域。企业和个人用户在享受技术带来便利的同时,也必须承担起保护自身安全的责任,及时更新防护措施,以应对可能随时发生的各种网络威胁。
