Tehdit aktörleri, Microsoft Office gibi meşru uygulamaların çatlak versiyonları altında popüler bir yazılım barındırma hizmeti olan SourceForge aracılığıyla kripto para madenci ve Clipper kötü amaçlı yazılımlar gibi kötü niyetli yüklerin dağıtılması gözlemlenmiştir.
Kaspersky, bugün yayınlanan bir raporda, “Bu tür bir proje olan OfficePackage, SourceForge.net ana web sitesinde, meşru bir GitHub projesinden kopyalanan Microsoft Office eklentilerini içeren yeterince zararsız görünüyor.” Dedi. “Aşağıda sağlanan ofispülün açıklaması ve içeriği de GitHub’dan alınmıştır.”
SourceForge.net’te oluşturulan her proje bir “atanır”
Bunun üzerine, indirme düğmesinin üzerine geldiğinde, tarayıcı durum çubuğunda görünüşte meşru bir URL ortaya çıkar: “Loading.SourceForge[.]IO/Download, İndirme bağlantısının SourceForge ile ilişkili olduğu izlenimini verir. Ancak, bağlantıya tıklamak kullanıcıyı “TapLink” de barındırılan tamamen farklı bir sayfaya yönlendirir[.]CC “başka bir indirme düğmesini belirgin bir şekilde görüntüler.
Mağdurlar indirme düğmesine tıklarsa, açıldığında ikinci bir şifre korumalı arşiv (“yükleyici.zip”) ve dosyayı açmak için şifreli bir metin dosyası içeren 7 MB Zip Arşivi (“Vinstaller.zip”) sunulur.
Yeni ZIP dosyasında, birkaç dosya oluşturmaktan sorumlu bir MSI yükleyicisi, “unrar.exe” adlı bir konsol arşivi, bir RAR arşivi ve Visual Basic (VB) komut dosyası.
Kaspersky, “VB komut dosyası, GitHub’dan bir toplu iş dosyası olan Confvk’i indirmek ve yürütmek için bir PowerShell tercümanı çalıştırıyor.” Dedi. “Bu dosya RAR arşivi için şifre içerir. Ayrıca kötü amaçlı dosyaları açar ve bir sonraki aşamalı komut dosyasını çalıştırır.”
Batch dosyası ayrıca biri Telegram API’sını kullanarak sistem meta verilerini gönderen iki PowerShell komut dosyası çalıştırmak için tasarlanmıştır. Diğer dosya, daha sonra RAR arşivinin içeriğine etki eden ve sonuçta madenci ve Clipper kötü amaçlı yazılımları (diğer adıyla ClipBanker) yükleri başlatan başka bir toplu komut dosyasını indirir.
Ayrıca, uzak bir sunucu ile şifreli bir bağlantı kuran NetCAT Yürütülebilir (“ShellexPerienceHost.exe”) de düştü. Hepsi bu değil. Confvk toplu iş dosyasının, Telegram API’si aracılığıyla bir metin dizesini almak ve yürütmek için programlanmış bir PowerShell betiği içeren “errorHandler.cmd” adlı başka bir dosya oluşturduğu bulunmuştur.
Web sitesinin bir Rus arayüzüne sahip olması, Rusça konuşan kullanıcılara odaklanmayı gösteriyor. Telemetri verileri, potansiyel kurbanların% 90’ının Rusya’da olduğunu ve 4.604 kullanıcının Ocak ayı başları ile Mart ayı arasında planla karşılaştığını gösteriyor.
SourceForge ile[.]Arama motorları tarafından endekslenen ve arama sonuçlarında görünen IO sayfaları, Yandex’te Microsoft Office’i arayan Rus kullanıcılarının muhtemelen kampanyanın hedefi olduğuna inanılmaktadır.
Kaspersky, “Kullanıcılar resmi kaynakların dışındaki uygulamaları indirmek için yollar aradıklarında, saldırganlar kendi sunuyor.” Dedi. “Saldırı öncelikle bir madenci ve clipbanker kullanarak kripto para birimini hedef alırken, saldırganlar daha tehlikeli aktörlere sistem erişimi satabilirler.”
Açıklama, şirketin Deepseek Yapay Zeka (AI) Chatbot’u ve uzaktan masaüstü ve 3D modelleme yazılımını taklit eden hileli siteler aracılığıyla TAKPS adlı bir kötü amaçlı yazılım indiricisini dağıtan bir kampanyanın ayrıntılarını açıkladığı için geliyor.
Bu, Deepseek-A-Soft gibi web sitelerini içerir[.]Malwarebytes’e göre, şüphesiz kullanıcıların sponsorlu Google arama sonuçları aracılığıyla yönlendirildiği com.
TAKPS, SSH aracılığıyla enfekte olmuş ana bilgisayara uzaktan erişim sağlayan PowerShell komut dosyalarını indirmek ve yürütmek için tasarlanmıştır ve Tevirat olarak adlandırılan bir Truva’nın değiştirilmiş bir versiyonunu bırakmak. Bu, tehdit oyuncunun kurbanın bilgisayarına çeşitli şekillerde tam olarak erişme girişimlerini vurgular.
“Örnek […] TeamViewer uzaktan erişim yazılımını enfekte cihazlara değiştirmek ve dağıtmak için DLL kenar yükleme kullanır, “dedi Kaspersky.” Saldırganlar, yazılımın varsayılan davranışını ve ayarlarını değiştiren, kullanıcıdan saklayan ve saldırganlara kaplumbağa uzaktan erişim sağlayan TeamViewer ile aynı klasöre kötü amaçlı bir kütüphane yerleştiriyor. “
Geliştirme ayrıca, powershell tabanlı bir uzaktan erişim aracı (sıçan) olan Thundershell (diğer adıyla Smokedham) ile bağlanmış kurcalamalı bir versiyon sunmak için, kötü niyetli bir VMware yardımcı programı olan RVTools için kötü niyetli Google reklamlarının keşfini takip ediyor.
Field Effect, “Bazen Smokedham olarak adlandırılan Thundershell, kırmızı ekip ve penetrasyon testi için tasarlanmış halka açık bir sömürü sonrası çerçeve” dedi. “Operatörlerin PowerShell tabanlı bir ajan aracılığıyla tehlikeye atılmış makinelerde komutları yürütmesine izin veren bir komut ve kontrol (C2) ortamı sağlar.”