Se ha observado que los actores de amenaza distribuyen cargas útiles maliciosas como el minero de criptomonedas y el malware Clipper a través de Fuente de la fuenteun servicio de alojamiento de software popular, bajo la apariencia de versiones agrietadas de aplicaciones legítimas como Microsoft Office.
“Uno de esos proyectos, OfficePackage, en el sitio web principal SourceForge.net, parece bastante inofensivo, que contiene complementos de Microsoft Office copiados de un proyecto legítimo de GitHub”, Kaspersky dicho en un informe publicado hoy. “La descripción y el contenido de OfficePackage que se proporcionan a continuación también fueron tomados de GitHub”.
Mientras que cada proyecto creado en SourceForge.net se asigna a “
Además de eso, flotar sobre el botón de descarga revela una URL aparentemente legítima en la barra de estado del navegador: “Carga.[.]IO/Descargar, dando la impresión de que el enlace de descarga está asociado con SourceForge. Sin embargo, hacer clic en el enlace redirige al usuario a una página completamente diferente alojada en “Taplink[.]CC “que prominentemente muestra otro botón de descarga.
Si las víctimas hacen clic en el botón de descarga, se les sirve un archivo ZIP de 7 MB (“Vinstaller.zip”), que, cuando se abre, contiene un segundo archivo protegido por contraseña (“instalador.zip”) y un archivo de texto con la contraseña para abrir el archivo.
Presente dentro del nuevo archivo ZIP hay un instalador MSI responsable de crear varios archivos, una utilidad de archivo de consola llamada “unrar.exe”, un archivo RAR y un script de Visual Basic (VB).
“El script VB ejecuta un intérprete PowerShell para descargar y ejecutar un archivo por lotes, Confvk, desde Github”, dijo Kaspersky. “Este archivo contiene la contraseña para el archivo RAR. También desempaqueta los archivos maliciosos y ejecuta el script de la siguiente etapa”.
El archivo por lotes también está diseñado para ejecutar dos scripts de PowerShell, uno de los cuales envía metadatos del sistema utilizando la API de Telegram. El otro archivo descarga otro script por lotes que luego actúa sobre el contenido del archivo de RAR, que finalmente lanza las cargas útiles de Miner y Clipper Malware (también conocido como ClipBanker).
También se ha descartado el ejecutable de NetCat (“ShellexPerienceHost.exe”) que establece una conexión encriptada con un servidor remoto. Eso no es todo. Se ha encontrado que el archivo de lotes de Confvk crea otro archivo llamado “ErrorHandler.cmd” que contiene un script PowerShell programado para recuperar y ejecutar una cadena de texto a través de la API de Telegram.
El hecho de que el sitio web tenga una interfaz rusa indica un enfoque en los usuarios de habla rusa. Los datos de telemetría muestran que el 90% de las víctimas potenciales se encuentran en Rusia, con 4.604 usuarios que encuentran el esquema entre principios de enero y finales de marzo.
Con el SourceForge[.]Las páginas IO indexadas por los motores de búsqueda y que aparecen en los resultados de búsqueda, se cree que los usuarios rusos que buscan Microsoft Office en Yandex probablemente sean el objetivo de la campaña.
“A medida que los usuarios buscan formas de descargar aplicaciones fuera de las fuentes oficiales, los atacantes ofrecen las suyas”, dijo Kaspersky. “Si bien el ataque se dirige principalmente a la criptomoneda al desplegar un minero y un clipanker, los atacantes podrían vender acceso del sistema a actores más peligrosos”.
La divulgación se produce cuando la compañía reveló detalles de una campaña que está distribuyendo un descargador de malware llamado Tomas a través de sitios fraudulentos Sobre el chatbot de inteligencia artificial (IA) de Deepseek, así como de escritorio remoto y software de modelado 3D.
Esto incluye sitios web como Deepseek-Ai-Soft[.]com, a la que se redirigen a los usuarios desprevenidos a través de los resultados de búsqueda de Google patrocinados, por Malwarebytes.
Takeps está diseñado para descargar y ejecutar scripts de PowerShell que otorgan acceso remoto al host infectado a través de SSH, y eliminan una versión modificada de un troyano denominado Tevirat. Esto resalta los intentos del actor de amenaza de obtener acceso completo a la computadora de la víctima de varias maneras.
“La muestra […] Utiliza la forma lateral de DLL para modificar e implementar el software de acceso remoto de TeamViewer en dispositivos infectados “, dijo Kaspersky.” En términos simples, los atacantes colocan una biblioteca maliciosa en la misma carpeta que TeamViewer, que altera el comportamiento y la configuración predeterminados del software, ocultándolo del usuario y proporcionando a los atacantes acceso remoto remoto “.
El desarrollo también sigue el descubrimiento de los anuncios maliciosos de Google para RVTools, una popular utilidad de VMware, para entregar una versión manipulada que está mezclada con Thundershell (también conocido como Smokedham), una herramienta de acceso remoto (RAT) basada en PowerShell (RAT) que subraya cómo sigue siendo una amenaza persistente y de evolución.
“Thundershell, a veces llamado Smokedham, es un marco de explotación disponible públicamente diseñado para el equipo rojo y las pruebas de penetración”, Field Effect dicho. “Proporciona un entorno de comando y control (C2) que permite a los operadores ejecutar comandos en máquinas comprometidas a través de un agente basado en PowerShell”.
About the Author
