脅威行為者は、SourceForgeを悪用して偽のMicrosoftアドインを配布し、被害者のコンピュータにマルウェアをインストールして暗号通貨の採掘と窃取を行っています。
SourceForge.netは、正規のソフトウェアホスティングおよび配布プラットフォームであり、バージョン管理、バグ追跡、専用フォーラム/Wikiもサポートしているため、オープンソースプロジェクトコミュニティの間で非常に人気があります。
オープンなプロジェクト投稿モデルであるため、悪用される可能性は十分にあるが、実際にマルウェアが配布されるケースは稀である。
Kasperskyが発見した新しいキャンペーンは、4,604以上のシステムに影響を与えており、そのほとんどがロシアにある。
悪質なプロジェクトはSourceForgeでは公開されていないが、カスペルスキーによると、このプロジェクトは検索エンジンにインデックスされており、「office add-ins」などで検索したユーザーからのトラフィックをもたらしていたという。
ソースはこちら:カスペルスキー
偽のOfficeアドイン
officepackage」プロジェクトは、Officeアドイン開発ツールのコレクションであることを自称しており、その説明とファイルは、GitHubで利用可能な正規のMicrosoftプロジェクト「Office-Addin-Scripts」のコピーである。
Source:カスペルスキー
しかし、ユーザーがGoogle検索(およびその他のエンジン)でオフィスアドインを検索すると、SourceForgeがプロジェクト所有者に提供している別のウェブホスティング機能を利用した「officepackage.sourceforge.io」を指す結果が表示される。
そのページは正規の開発者ツールページを模倣しており、「Officeアドイン」と「ダウンロード」ボタンが表示されている。どれかがクリックされると、被害者はパスワードで保護されたアーカイブ(installer.zip)とパスワードが記載されたテキストファイルを含むZIPを受け取る。
Source :
このアーカイブには、AVスキャンを回避するために700MBに膨れ上がったMSIファイル(installer.msi)が含まれています。これを実行すると、「UnRAR.exe」と「51654.rar」がドロップされ、GitHubからバッチスクリプト(confvk.bat)を取得するVisual Basicスクリプトが実行されます。
このスクリプトは、シミュレートされた環境上で実行されるかどうか、どのウイルス対策製品が有効かを判断するためのチェックを行い、別のバッチスクリプト(confvz.bat)をダウンロードしてRARアーカイブを解凍する。
confvz.batスクリプトは、レジストリの変更とWindowsサービスの追加によって永続性を確立します。
RARファイルには、AutoITインタプリタ(Input.exe)、Netcatリバースシェルツール(ShellExperienceHost.exe)、および2つのペイロード(Icon.dllおよびKape.dll)が含まれています。
ソースはこちら:カスペルスキー
DLLファイルは暗号通貨マイナーとクリッパーです。前者はマシンの計算能力を乗っ取って攻撃者のアカウントのために暗号通貨を採掘し、後者はクリップボードにコピーされた暗号通貨アドレスを監視し、攻撃者が管理するものに置き換えます。
攻撃者はまた、Telegram APIコールを介して感染したシステムの情報を受信し、同じチャネルを使用して侵害されたマシンに追加のペイロードを導入することができます。
このキャンペーンは、偽の正当性を獲得し、保護をバイパスするために、あらゆる合法的なプラットフォームを悪用する脅威行為者のもう1つの例です。
ユーザーは、確認できる信頼できるパブリッシャーからのみソフトウェアをダウンロードし、公式のプロジェクトチャンネル(この場合はGitHub)を選択し、実行前に最新のAVツールですべてのダウンロードファイルをスキャンすることをお勧めします。
更新 4/9– SourceForgeのプレジデントであるLogan Abbott氏から以下のコメントが届いています。
「SourceForge上に悪意のあるファイルは存在せず、いかなる侵害もありませんでした。問題の悪意のある行為者とプロジェクトは、発見後ほぼ直ちに削除されました。SourceForge.net(プロジェクトのウェブサイトのサブドメインではなく、メインのウェブサイト)上のファイルはすべてマルウェアがスキャンされており、ユーザーはそこからファイルをダウンロードする必要があります。いずれにせよ、無料のウェブホスティングを使用しているプロジェクトウェブサイトが、外部でホストされているファイルにリンクしたり、怪しいリダイレクトを使用したりできないように、さらなる安全策を講じました。”- ソースフォージ、ローガン・アボット
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .
攻撃の93%を支えるMITRE ATT&CK©テクニックのトップ10
1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。
Comments