Yeni Zararlı Yazılım Kampanyası, SourceForge Projelerini Kullanarak Kripto Para Çalmak ve Kullanıcıları İzlemek İçin Sömürüyor

Yeni bir kötü amaçlı yazılım kampanyası, açık kaynaklı yazılım projeleri için hosting yapan güvenilir bir site olan SourceForge aracılığıyla kullanıcıları hedef alıyor.

Kaspersky araştırmacıları, saldırganların sahte bir proje kullanarak insanları ofis araçları gibi görünen kötü amaçlı dosyaları indirmeye ikna etmeye çalıştığı bir düzeni gün yüzüne çıkardı.

Sahte proje, “officepackage” olarak adlandırılmış ve SourceForge sayfasında zararsız görünüyor. Ayrıca, açıklamasını GitHub‘da gerçek bir Microsoft Office eklentileri projesinden kopyalıyor. Ancak, ilgili officepackage.sourceforge.io alan adı tamamen farklı bir web sitesine yönlendiriyor ve bu site sahte ofis uygulamalarını “İndir” düğmeleri ile listeliyor.

Araştırmacılar, sayfaların arama motorları tarafından indekslendiğini ve bu nedenle arama sonuçlarında meşru göründüğünü açıklıyorlar. Ancak kullanıcılar, yararlı yazılımlar yerine, bilgisayarlarına sonunda malware yükleyen karmaşık bir indirme sayfaları labirentine yönlendiriliyor.

İndirilen dosya, vinstaller.zip adında, şifre korumalı bir arşiv ve kullanıcıları kandırmak için çöp verilerle dolu büyük ve meşru görünen bir Windows Yükleyici dahil olmak üzere gizli araçlar içerir. Çalıştırıldığında, GitHub’dan dosyaları indiren, kötü amaçlı bileşenleri çıkaran ve cihazı izlemeye başlayan gizli bir scripti çalıştırır.

Gizli scriptlerden biri, kurbanın cihaz bilgilerini, bilgisayarın IP adresi, kullanıcı adı, antivirüs yazılımı ve hatta CPU adı dahil olmak üzere Telegram üzerinden saldırganlara gönderiyor.

Bu kötü amaçlı yazılım iki ana işlem gerçekleştirir: öncelikle, saldırganlar için dijital para oluşturmak amacıyla sessizce bilgisayarın kaynaklarını kullanan bir kripto para madencisi yükler.

İkincisi, ClipBanker adı verilen bir tür kötü amaçlı yazılım yükler. Bu yazılım, kullanıcıların kripto para cüzdan adreslerini kopyalayıp yapıştırmalarını bekler. Yaptıklarında, cüzdan adresini saldırganın sahip olduğu bir adresle değiştirir ve bu sayede fonları saldırgana yönlendirir.

Yazılım, sisteme yerleşmek ve hatta yeniden başlatıldıktan sonra bile otomatik olarak yeniden başlatmak için birkaç yöntem kullanır. Sistem klasörlerine saklanır, özel kayıt defteri anahtarları ekler, sahte Windows hizmetleri oluşturur ve hatta sistem güncelleme araçlarını ele geçirir.

Güvende kalmak için, uzmanlar yazılımı yalnızca resmi kaynaklardan indirmenizi şiddetle tavsiye eder, çünkü korsan veya resmi olmayan indirmeler her zaman daha yüksek bir enfeksiyon riski taşır.