Вредоносное программное обеспечение, подменяющее скопированный адрес криптокошелька жертвы на адрес злоумышленника, обнаружено в фальшивых расширениях Microsoft Office, которые размещены на платформе SourceForge.
Хакеры пытаются похитить криптовалюту, используя вредоносное ПО, встроенное в поддельные расширения Microsoft Office, доступные для загрузки на сайте SourceForge, сообщают специалисты по кибербезопасности.
По словам экспертов, одна из особенностей цепи заражения заключается в передаче злоумышленникам данных об инфицированных устройствах — таких как IP-адреса, страна расположения и имена пользователей — через мессенджер Telegram.
Вредоносное ПО также способно сканировать систему на наличие признаков предыдущей инсталляции или антивирусного программного обеспечения, а в случае обнаружения — самостоятельно удалить себя.
Один из обнаруженных пакетов вредоносного ПО под названием «офисный пакет» содержит настоящие расширения Microsoft Office, но одновременно прячет вирус ClipBanker, который меняет скопированный в буфер обмена адрес криптокошелька на адрес злоумышленника.
«Пользователи криптокошельков обычно копируют адреса, а не вводят их вручную. Если устройство заражено ClipBanker, деньги могут оказаться совсем не там, где ожидалось», — предостерегает исследовательская команда.
Страница фальшивого проекта на SourceForge имитирует легитимный сайт разработчика инструментария, показывая надстройки для Microsoft Office и кнопки загрузки, а также может отображаться в результатах поисковых систем.
