Злоумышленники распространяют хакерский вирус через Microsoft Office

Вредоносное программное обеспечение, подменяющее скопированный адрес криптокошелька жертвы на адрес злоумышленника, обнаружено в фальшивых расширениях Microsoft Office, которые размещены на платформе SourceForge. Хакеры пытаются похитить криптовалюту, используя вредоносное ПО, встроенное в поддельные расширения Microsoft Office, доступные для загрузки на сайте SourceForge, сообщают специалисты по кибербезопасности. По словам экспертов, одна из особенностей цепи заражения заключается в передаче злоумышленникам данных об инфицированных устройствах — таких как IP-адреса, страна расположения и имена пользователей — через мессенджер Telegram. Вредоносное ПО также способно сканировать систему на наличие признаков предыдущей инсталляции или антивирусного программного обеспечения, а в случае обнаружения — самостоятельно удалить себя. Один из обнаруженных пакетов вредоносного ПО под названием «офисный пакет» содержит настоящие расширения Microsoft Office, но одновременно прячет вирус ClipBanker, который меняет скопированный в буфер обмена адрес криптокошелька на адрес злоумышленника. «Пользователи криптокошельков обычно копируют адреса, а не вводят их вручную. Если устройство заражено ClipBanker, деньги могут оказаться совсем не там, где ожидалось», — предостерегает исследовательская команда. Страница фальшивого проекта на SourceForge имитирует легитимный сайт разработчика инструментария, показывая надстройки для Microsoft Office и кнопки загрузки, а также может отображаться в результатах поисковых систем.