Эксперты «Лаборатории Касперского» обнаружили новую схему распространения вредоносного ПО, при которой злоумышленники под видом офисных приложений Microsoft внедряют майнер и троянец ClipBanker. Атака организована через платформу SourceForge, и, по данным исследователей, с ней уже столкнулись более 4600 пользователей в России.
Мошенники используют особенность SourceForge, где проектам с основного домена sourceforge.net автоматически выделяется зеркало на sourceforge.io. На основном сайте они разместили безвредный проект, а на поддомене — описание «бесплатных» версий Microsoft Office с вредоносной ссылкой. При переходе пользователь скачивает архив, внутри которого находится запароленный файл и документ с паролем. После распаковки запускается загрузка майнера, использующего ресурсы компьютера для добычи криптовалюты, и троянца ClipBanker, который подменяет адреса кошельков при копировании, чтобы перенаправлять средства злоумышленникам.
Для убедительности атакующие искусственно увеличили размер вредоносного файла до 700 МБ с помощью техники File Pumping, хотя его реальный вес составляет всего 7 МБ. Это делается, чтобы пользователь не заподозрил подмену. Эксперты предупреждают, что, помимо кражи криптовалюты, злоумышленники могут продавать доступ к заражённым устройствам или использовать их в других атаках.
Чтобы защититься от подобных угроз, важно скачивать программы только с официальных сайтов и проверенных источников, избегая сомнительных предложений бесплатного ПО. Следует внимательно проверять домены — например, в данном случае поддельная страница находилась на sourceforge.io, а не на основном sourceforge.net. Перед открытием архивов стоит убедиться, что их содержимое не вызывает подозрений, например, если файл требует пароль из текстового документа, это может быть признаком угрозы.
Надёжная защита включает использование актуального антивирусного ПО, которое способно блокировать майнеры и троянцы до их запуска. Также полезно отключить автозапуск архивов и скриптов, чтобы предотвратить случайное выполнение вредоносного кода. Регулярный мониторинг нагрузки на систему помогает вовремя заметить подозрительную активность, так как майнеры обычно сильно нагружают процессор или видеокарту.