Киберпреступники используют новую схему атак, используя поддельные расширения для Microsoft Office, чтобы распространять майнеры криптовалют и вредоносное ПО ClipBanker. Об этом предупредили аналитики «Лаборатории Касперского».
Злоумышленники разместили на популярной платформе SourceForge проект под названием officepackage, который выдает себя за набор дополнительных инструментов для офисного программного обеспечения. Эти инструменты внешне легитимно скопированы с GitHub, однако при скачивании пользователи получают модифицированный инсталлятор. После запуска он устанавливает на компьютер жертвы майнер для добычи криптовалюты и троян ClipBanker, который перехватывает данные из буфера обмена и подменяет адреса криптокошельков во время транзакций. Это позволяет хакерам перенаправлять средства себе.
По данным экспертов, основная цель кампании — русскоязычные пользователи. Жертвами атаки стали уже как минимум 4604 человека, причем 90% из них находятся в России.
Активизация таких атак связана с тем, что после прекращения работы Microsoft в регионе доступ к официальным продуктам корпорации стал ограниченным. Это создало повышенный спрос на альтернативные источники загрузки офисного ПО, например, через такие порталы, как SourceForge, которые кажутся пользователям более надежными. Однако хакеры используют эту ситуацию для распространения вредоносного ПО.
«Скачивание программного обеспечения с непроверенных сайтов всегда связано с высокими рисками, особенно когда официальные источники недоступны. Мы настоятельно рекомендуем пользователям воздержаться от поиска обходных путей и проявлять максимальную осторожность», — подчеркнули специалисты «Лаборатории Касперского».
Таким образом, злоумышленники успешно эксплуатируют дефицит легальных решений и доверие пользователей к известным площадкам для распространения ПО, чтобы заразить устройства вредоносами и нанести финансовый ущерб.