Хакеры используют фальшивые надстройки Microsoft Office для распространения криптомайнера и трояна, крадущего криптокошельки

В недавнем оповещении о безопасности, исследователи из Kaspersky обнаружили уникальную схему распространения вредоносного ПО, эксплуатирующую Sourceforge, популярную платформу хостинга программного обеспечения. Злоумышленники создали проект под названием “officepackage”, который, как кажется, предлагает надстройки Microsoft Office, но вместо этого приводит пользователей к загрузке вредоносного программного обеспечения. Схема включает в себя перенаправление пользователей с, казалось бы, легитимной страницы Sourceforge на обманный сайт, где им предлагается скачать подозрительный архив. Этот архив содержит файл Windows Installer, который, при выполнении, запускает сложную цепочку заражений, в конечном итоге развертывая майнер криптовалюты и троян Clipbanker, заменяющий адреса криптокошельков в буфере обмена на адреса злоумышленников. Операция в основном нацелена на русскоязычных пользователей, с телеметрией, указывающей на то, что более 4 600 человек столкнулись со схемой всего за несколько месяцев.