Hackers exploiteren valse Microsoft Office-add-ins om cryptominer en portemonnee-stelende Trojan te verspreiden.

In een recent beveiligingswaarschuwing hebben onderzoekers van Kaspersky een uniek malwaredistributieschema ontdekt dat Sourceforge, een populair softwarehostingplatform, exploiteert. Aanvallers hebben een project genaamd “officepackage” gecreëerd dat lijkt Microsoft Office-add-ins aan te bieden, maar in plaats daarvan gebruikers naar kwaadaardige software leidt. Het schema omvat het omleiden van gebruikers van een ogenschijnlijk legitieme Sourceforge-pagina naar een misleidende site waar ze worden aangespoord om een verdacht archief te downloaden. Dit archief bevat een Windows Installer-bestand dat, eenmaal uitgevoerd, een complexe infectieketen initieert, en uiteindelijk een cryptovalutaminer en de Clipbanker Trojan implementeert, die cryptovalutaportemonnee-adressen in het klembord vervangt door die van de aanvallers. De operatie richt zich voornamelijk op Russisch sprekende gebruikers, met telemetrie die aangeeft dat meer dan 4.600 personen het schema in slechts enkele maanden tegenkwamen.