Cibercriminales han estado usando SourceForge, una plataforma conocida para alojar software, para distribuir falsos complementos de Microsoft Office que contienen malware.
El malware no solo mina criptomonedas, sino que también las roba de las víctimas. Esta nueva campaña de ataque ya ha comprometido más de 4,600 sistemas, la mayoría en Rusia, según lo informado por Kaspersky.
Cómo se Propaga el Malware
El proyecto malicioso apareció en SourceForge como una supuesta colección de herramientas para el desarrollo de complementos de Office, llamada “officepackage“. Estaba disfrazado de una herramienta legítima, Office-Addin-Scripts, disponible en GitHub.
Cuando los usuarios buscaban complementos de Office en Google o en otros motores de búsqueda, el proyecto falso aparecía en los resultados, llevándolos a una página que imitaba muy bien una página oficial de herramientas para desarrolladores.
La Descarga Maliciosa
Una vez que el usuario hace clic en el botón de “Descargar” en la página falsa, recibe un archivo ZIP que contiene un archivo instalador.zip protegido por contraseña.
Este archivo contiene un instalador MSI que cuando se ejecuta, lleva a cabo una serie de acciones maliciosas:
- Se descargan los archivos UnRAR.exe y 51654.rar.
- Se ejecuta un script Visual Basic, que obtiene un script por lotes (confvk.bat) desde GitHub.
- El script por lotes verifica si hay software antivirus y simula un entorno para evitar la detección.
La Cadena de Infección
Una vez que el entorno es confirmado como adecuado, se ejecuta otro script por lotes (confvz.bat), que:
- Establece persistencia mediante modificaciones en el Registro de Windows.
- Agrega servicios de Windows para mantener su presencia en el sistema comprometido.
El archivo RAR contiene luego:
- Input.exe (un intérprete de AutoIT),
- ShellExperienceHost.exe (una herramienta de shell reverso Netcat),
- Icon.dll y Kape.dll (carga útil maliciosa).
El Impacto del Malware
Los archivos DLL cumplen dos funciones principales:
- Minería de Criptomonedas: Secuestra el poder computacional de la víctima para minar criptomonedas a favor del atacante.
- Robo de Portapapeles (Clipper): Monitorea el portapapeles en busca de direcciones de criptomonedas y las reemplaza por las del atacante.
Además, el atacante puede recibir y enviar datos desde el sistema infectado a través de llamadas a la API de Telegram, permitiendo que se introduzcan más cargas útiles en la máquina comprometida.
Qué Puedes Hacer para Mantenerte Seguro ️
Para evitar ser víctima de este tipo de ataque, se recomienda a los usuarios:
- Descargar software solo de fuentes confiables y canales oficiales del proyecto (como GitHub).
- Verificar a los editores antes de descargar cualquier archivo.
- Escanear todos los archivos con software antivirus actualizado antes de ejecutarlos.
Aunque SourceForge respondió eliminando el proyecto malicioso casi de inmediato, la amenaza es un recordatorio de cómo los atacantes pueden explotar plataformas legítimas para eludir las medidas de seguridad.