假冒的微软Office插件工具通过SourceForge推送恶意软件

主要观点总结

本文报道了威胁者利用SourceForge平台分发假冒的微软插件，以安装恶意软件来挖掘和窃取加密货币的事件。文章中提到了SourceForge平台的合法性和其在开源项目社区中的受欢迎程度，以及此次攻击的影响范围和受影响的主要地区。此外，文章还描述了恶意软件的工作原理和感染过程，以及攻击者如何利用Telegram API接收受感染系统的信息。

关键观点总结

关键观点1: SourceForge平台被用于分发假冒的微软插件

威胁者利用SourceForge平台的合法性，分发含有恶意软件的插件，以安装并窃取加密货币。

关键观点2: 攻击影响范围广泛，主要影响俄罗斯

卡巴斯基发现的新一轮攻击已影响到超过4604台系统，其中大部分位于俄罗斯。

关键观点3: 恶意软件的工作原理和感染过程

恶意软件通过模仿合法开发者工具页面，诱骗用户下载含有密码保护的归档文件。运行该文件后，恶意软件会删除某些文件并执行Visual Basic脚本，从GitHub获取批处理脚本。这些脚本通过修改注册表和添加Windows服务来建立持久性，最终用于挖掘加密货币并监控剪贴板。

关键观点4: 攻击者利用Telegram API接收受感染系统的信息

攻击者不仅能够利用Telegram API接收受感染系统的信息，还可以使用同一通道向受感染的机器引入额外的有效负载。

关键观点5: 建议用户从可信的出版商下载软件，并扫描所有下载的文件

用户应该提高警惕，从可信的出版商那里下载软件，并在执行之前使用最新的反病毒工具扫描所有下载的文件，以避免受到此类攻击的影响。

文章预览

据了解，威胁者正在滥用 SourceForge 分发假冒的微软插件，这些插件会在受害者的电脑上安装恶意软件，以同时挖掘和窃取加密货币。 SourceForge.net 是一个合法的软件托管和分发平台，还支持版本控制、错误跟踪以及专门的论坛/维基，因此在开源项目社区中非常受欢迎。 尽管其开放的项目提交模式为恶意行为留下了很大的空间，但实际上通过它传播恶意软件的情况却极为罕见。 卡巴斯基发现的新一轮攻击已影响到超过 4604 台系统，其中大部分位于俄罗斯。 尽管恶意项目已不在 SourceForge 上，但卡巴斯基表示，该项目已被搜索引擎收录，吸引了搜索“办公插件”或类似内容的用户访问。 源代码托管网站 SourceForge 上的恶意软件出现在搜索结果中 假冒Office插件 “officepackage”项目是一个Office插件开发工具的集合，其描述和文件是GitHub上合法的微软项目“ ………………………………