Se ha observado que los actores de amenazas distribuyen cargas enseres maliciosas, como el minero de criptomonedas y el malware Clipper a través de SourceForge, un popular servicio de alojamiento de software, bajo la apariencia de versiones descifradas de aplicaciones legítimas como Microsoft Office.
«Uno de esos proyectos, OfficePackage, en el sitio web principal SourceForge.net, parece proporcionado inofensivo, que contiene complementos de Microsoft Office copiados de un esquema razonable de GitHub», dijo Kaspersky en un noticia publicado hoy. «La descripción y el contenido de OfficePackage que se proporcionan a continuación además fueron tomados de GitHub».
Mientras que cada esquema creado en SourceForge.net se le asigna un «
Por otra parte de eso, el flujo sobre el gema de descarga revela una URL aparentemente legítima en la mostrador de estado del navegador: «Loading.sourceForge (.) Io/descarga, dando la impresión de que el enlace de descarga está asociado con SourceForge. Sin retención, hacer clic en el enlace redirige al beneficiario a una página completamente diferente alojada en» Taplink (.) CC «que muestra otro gema de descarga.
Si las víctimas hacen clic en el gema de descarga, se les sirve un archivo ZIP de 7 MB («Vinstaller.zip»), que, cuando se abre, contiene un segundo archivo protegido por contraseña («instalador.zip») y un archivo de texto con la contraseña para cascar el archivo.
Presente interiormente del nuevo archivo ZIP hay un instalador MSI responsable de crear varios archivos, una utilidad de archivo de consola señal «unrar.exe», un archivo RAR y un script de Visual Basic (VB).
«El script VB ejecuta un intérprete PowerShell para descargar y ejecutar un archivo por lotes, Confvk, desde Github», dijo Kaspersky. «Este archivo contiene la contraseña para el archivo RAR. Incluso desempaqueta los archivos maliciosos y ejecuta el script de la venidero etapa».
El archivo por lotes además está diseñado para ejecutar dos scripts de PowerShell, uno de los cuales envía metadatos del sistema utilizando la API de Telegram. El otro archivo descarga otro script por lotes que luego actúa sobre el contenido del archivo de RAR, que finalmente aguijada las cargas enseres de Miner y Clipper Malware (además conocido como ClipBanker).
Incluso se ha descartado el ejecutable de NetCat («ShellexPerienceHost.exe») que establece una conexión encriptada con un servidor remoto. Eso no es todo. Se ha enfrentado que el archivo de lotes de Confvk crea otro archivo llamado «ErrorHandler.cmd» que contiene un script PowerShell programado para recuperar y ejecutar una dependencia de texto a través de la API de Telegram.
El hecho de que el sitio web tenga una interfaz rusa indica un enfoque en los usuarios de palabra rusa. Los datos de telemetría muestran que el 90% de las víctimas potenciales se encuentran en Rusia, con 4.604 usuarios que encuentran el esquema entre principios de enero y finales de marzo.
Con las páginas SourceForge (.) IO indexadas por los motores de búsqueda y que aparecen en los resultados de búsqueda, se cree que los usuarios rusos que buscan Microsoft Office en Yandex son probablemente el objetivo de la campaña.
«A medida que los usuarios buscan formas de descargar aplicaciones fuera de las fuentes oficiales, los atacantes ofrecen las suyas», dijo Kaspersky. «Si perfectamente el ataque se dirige principalmente a la criptomoneda al desplegar un minero y un clipanker, los atacantes podrían traicionar entrada del sistema a actores más peligrosos».
La divulgación se produce cuando la compañía reveló detalles de una campaña que distribuye un descargador de malware llamado Takes a través de sitios fraudulentos que se hacen advenir por el chatbot de inteligencia químico (IA) de Deepseek, así como de escritorio remoto y software de modelado 3D.
Esto incluye sitios web como Deepseek-Ai-Soft (.) Com, a los que los usuarios desprevenidos se redirigen a través de los resultados de búsqueda de Google patrocinados, según Malwarebytes.
Takeps está diseñado para descargar y ejecutar scripts de PowerShell que otorgan entrada remoto al host infectado a través de SSH, y eliminan una lectura modificada de un troyano denominado Tevirat. Esto resalta los intentos del actor de amenaza de obtener entrada completo a la computadora de la víctima de varias maneras.
«La muestra (…) utiliza la forma adyacente de DLL para modificar e implementar el software de entrada remoto de TeamViewer en dispositivos infectados», dijo Kaspersky. «En términos simples, los atacantes colocan una biblioteca maliciosa en la misma carpeta que TeamViewer, que altera el comportamiento y la configuración predeterminados del software, ocultándola al beneficiario y proporcionando a los atacantes entrada remoto encubierto».
El incremento además sigue el descubrimiento de los anuncios maliciosos de Google para RVTools, una popular utilidad de VMware, para entregar una lectura manipulada que está mezclada con Thundershell (además conocido como Smokedham), una utensilio de entrada remoto (RAT) basada en PowerShell (RAT) que subraya cómo sigue siendo una amenaza persistente y de cambio.
«Thundershell, a veces llamado Smokedham, es un situación de explotación apto públicamente diseñado para pruebas de equipo rojo y penetración», dijo Field Effect. «Proporciona un entorno de comando y control (C2) que permite a los operadores ejecutar comandos en máquinas comprometidas a través de un agente basado en PowerShell».
