Hacker nutzen gefälschte Microsoft Office Add-ins aus, um Crypto Miner und Wallet-stehlende Trojaner zu verbreiten.

In einer kürzlichen Sicherheitswarnung haben Kaspersky-Forscher ein einzigartiges Malware-Verteilungsschema aufgedeckt, das Sourceforge, eine beliebte Software-Hosting-Plattform, ausnutzt. Angreifer haben ein Projekt namens “officepackage” erstellt, das vermeintlich Microsoft Office-Add-Ins anbietet, jedoch stattdessen Benutzer dazu bringt, bösartige Software herunterzuladen. Das Schema beinhaltet das Umleiten der Benutzer von einer scheinbar legitimen Sourceforge-Seite zu einer trügerischen Website, auf der sie aufgefordert werden, ein verdächtiges Archiv herunterzuladen. Dieses Archiv enthält eine Windows Installer-Datei, die bei Ausführung eine komplexe Infektionskette auslöst, die letztendlich einen Kryptowährungs-Miner und den Clipbanker-Trojaner bereitstellt, welcher Kryptowährungs-Wallet-Adressen in der Zwischenablage mit denen der Angreifer ersetzt. Der Betrieb zielt hauptsächlich auf russischsprachige Benutzer ab, wobei die Telemetrie anzeigt, dass über 4.600 Personen dem Schema innerhalb weniger Monate begegneten.