Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Вредоносный проект «officepackage»: угроза для русскоязычных пользователей

19
2 мин
Новое исследование в области кибербезопасности выявило использование платформы SourceForge для распространения вредоносного ПО под видом законного программного обеспечения. Злоумышленники развернули проект, названный officepackage, который на первый взгляд выглядит безобидно, но на самом деле представляет собой угрозу для пользователей. Процесс начинается с загрузки файлов, которые могут показаться легитимными. В частности, пользователи загружают файл installer.zip, содержащий заметно увеличенный файл installer.msi. При запуске этого установщика происходит ряд злонамеренных действий: Запущенный скрипт confvk осуществляет следующие действия: Вредоносное ПО демонстрирует сложные методы сохранения и установки через Windows Installer, включая: Исследование показывает, что данная вредоносная программа нацелена преимущественно на русскоязычных пользователей, с 90% потенциальных жертв, находящихся в России. На протяжении периода с начала января по конец марта примерно 4 604 пользователя столк
Оглавление
Источник: securelist.com
Источник: securelist.com

Новое исследование в области кибербезопасности выявило использование платформы SourceForge для распространения вредоносного ПО под видом законного программного обеспечения. Злоумышленники развернули проект, названный officepackage, который на первый взгляд выглядит безобидно, но на самом деле представляет собой угрозу для пользователей.

Как работает схема мошенничества

Процесс начинается с загрузки файлов, которые могут показаться легитимными. В частности, пользователи загружают файл installer.zip, содержащий заметно увеличенный файл installer.msi. При запуске этого установщика происходит ряд злонамеренных действий:

  • Создание файлов ключей, таких как UnRAR.exe.
  • Создание зашифрованного архива 51654.rar.
  • Выполнение скрипта на Visual Basic через PowerShell для загрузки пакетного файла confvk с GitHub.

Механизм и последствия установки

Запущенный скрипт confvk осуществляет следующие действия:

  • Проверка системы на наличие антивирусов и других угроз.
  • Сжатие файлов в архив и отправка данных о системе в чат Telegram.
  • Загрузка другого пакетного файла confvz, который управляет распакованными файлами и запускает дополнительные скрипты.

Агрессивные методы скрытого контроля

Вредоносное ПО демонстрирует сложные методы сохранения и установки через Windows Installer, включая:

  • Скрипт Icon.dll, внедряющий криптомайнер в систему.
  • Скрипт Kape.dll, изменяющий содержимое буфера обмена для кражи криптовалюты.

Целевая аудитория и масштабы атаки

Исследование показывает, что данная вредоносная программа нацелена преимущественно на русскоязычных пользователей, с 90% потенциальных жертв, находящихся в России. На протяжении периода с начала января по конец марта примерно 4 604 пользователя столкнулись с этой угрозой.

Предостережение для пользователей

Данный инцидент подчеркивает повышенные риски загрузки программного обеспечения из непроверенных источников. Злоумышленники могут не только извлечь выгоду из первого заражения, но и продать доступ к скомпрометированным системам другим мошенникам. Профессионалы по кибербезопасности настоятельно призывают пользователей избегать загрузки приложений из сомнительных источников, чтобы защитить свои устройства.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Вредоносный проект "officepackage": угроза для русскоязычных пользователей".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.