Les pirates exploitent de faux modules complémentaires Microsoft Office pour diffuser un mineur de crypto-monnaie et un cheval de Troie voleur de portefeuille

Dans une alerte de sécurité récente, les chercheurs de Kaspersky ont découvert un schéma de distribution de logiciels malveillants unique exploitant Sourceforge, une plateforme d’hébergement de logiciels populaire. Les attaquants ont créé un projet nommé “officepackage” qui semble offrir des modules complémentaires pour Microsoft Office, mais qui incite plutôt les utilisateurs à télécharger des logiciels malveillants. Le schéma implique de rediriger les utilisateurs d’une page Sourceforge apparemment légitime vers un site trompeur où ils sont incités à télécharger une archive suspecte. Cette archive contient un fichier d’installation Windows qui, une fois exécuté, initie une chaîne d’infection complexe, déployant finalement un mineur de cryptomonnaie et le cheval de Troie Clipbanker, qui remplace les adresses de portefeuilles de cryptomonnaie dans le presse-papiers par celles des attaquants. L’opération cible principalement les utilisateurs russophones, avec des données indiquant que plus de 4 600 individus ont rencontré ce schéma en seulement quelques mois.