Siber Suçlular, Kripto Para Madenciliği ve Hesap Hijacking İçin SourceForge'u Kötüye Kullanıyor

Siber suçlular, kripto para madenciliği araçları ve pano hırsızları içeren truva atı bulaştırılmış Office yükleyicileri yaymak için SourceForge'un proje alanlarını kötüye kullanıyor. Kaspersky araştırmacılarına göre, yeni ortaya çıkan bir kötü amaçlı yazılım kampanyası, platformun geliştirici dostu araçlarından yararlanarak kullanıcıları kötü amaçlı kripto yazılımları indirmeye ikna etmek için SourceForge'un altyapısını bir fırlatma rampasına dönüştürüyor. Bu şema, Office ile ilgili indirmeler gibi görünen, şişirilmiş yükleyiciler, parolayla korunan arşivler ve sonunda bir kripto madenci ve kripto işlemlerini ele geçirmek için bir ClipBanker sunan bir dizi gizleme katmanıyla, özellikle kripto kullanıcılarını hedef alıyor.

8 Nisan Salı günü yayınlanan bir blog yazısında araştırmacılar, saldırganların GitHub'dan kopyalanan Microsoft Office eklentilerine benzeyecek şekilde tasarlanmış "officepackage" adlı sahte bir proje oluşturduğunu belirtti. Araştırmacılar, proje sayfasının kendisi normal görünürken, asıl tuzağın otomatik olarak oluşturulan "officepackage.sourceforge.io" alt alan adı olduğunu belirtti. Rusya'nın Yandex'i gibi arama motorları bu durumu tespit etti ve kullanıcılar sayfayı ziyaret ettiğinde, aslında kötü amaçlı yazılım bulaştırmayı başlatan indirme butonları içeren sahte bir ofis uygulamaları listesi gördüler.

Sahte indirme bağlantılarına tıklamak, kullanıcıları küçük bir zip dosyası teslim etmeden önce birkaç yönlendirmeden geçiriyor. Ancak açıldıktan sonra, 700MB'lık şişirilmiş bir yükleyiciye dönüşüyor. Yükleyici, başlatıldığında, çalışmadan önce antivirüs araçlarını kontrol eden kötü amaçlı yazılımı açığa çıkarmak için GitHub'dan daha fazla dosya almak üzere gizli komut dosyaları kullanır. Herhangi bir tehdit tespit edilmezse, AutoIt ve Netcat gibi araçları yükler. Araştırmacılar, bir komut dosyası sistem bilgilerini bir Telegram botuna gönderirken, diğeri kripto madenciliği yapan kötü amaçlı yazılımın sistemde kalmasını sağlıyor. Kaspersky, etkilenen kullanıcıların %90'ının Rusya'da olduğunu ve Ocak ile Mart ayları arasında 4.600'den fazla hit aldığını belirtiyor. Kampanya öncelikle kripto fonları çalmayı amaçlasa da, araştırmacılar, etkilenen makinelerin diğer tehdit aktörlerine de satılabileceği konusunda uyarıyor.

Sonuç olarak, siber suçluların, kullanıcıları kötü amaçlı yazılımlara yönlendirmek için SourceForge gibi güvenilir platformları kullanması, çevrimiçi güvenlik açısından ciddi bir tehdit oluşturuyor. Kripto para kullanıcılarının özellikle dikkatli olması ve bilinmeyen kaynaklardan gelen indirmelerden kaçınması gerekiyor.