Kemas kini 9 April, 11:50 malam: Artikel ini telah dikemas kini untuk memasukkan respons daripada presiden SourceForge, Encik Logan Abbott.
Pelaku jahat sedang cuba mencuri mata wang kripto dengan perisian hasad yang ditanam dalam sambungan Microsoft Office palsu yang dimuat naik ke laman hos perisian SourceForge, menurut firma keselamatan siber Kaspersky.
Salah satu senarai jahat, yang dipanggil "officepackage," mempunyai add-in Microsoft Office sebenar tetapi menyembunyikan perisian hasad bernama ClipBanker yang menggantikan alamat dompet kripto yang disalin pada papan klip komputer dengan alamat penyerang, pasukan Penyelidikan Anti-Perisian Hasad Kaspersky menyatakan dalam laporan 8 April.
“Pengguna dompet kripto biasanya menyalin alamat daripada menaipnya. Jika peranti dijangkiti ClipBanker, wang mangsa akan berakhir di tempat yang tidak dijangka,” menurut pasukan tersebut.
Laman projek palsu itu meniru laman alat pembangun yang sah, menunjukkan add-in office dan butang muat turun dan juga boleh muncul dalam hasil carian.
Kaspersky mengatakan ia menemui perisian hasad pencuri kripto di laman hos perisian SourceForge. Sumber: Kaspersky
Kaspersky mengatakan satu lagi ciri rantaian jangkitan perisian hasad melibatkan penghantaran maklumat peranti yang dijangkiti seperti alamat IP, negara dan nama pengguna kepada penggodam melalui Telegram.
Perisian hasad itu juga boleh mengimbas sistem yang dijangkiti untuk tanda-tanda ia telah dipasang sebelum ini atau untuk perisian antivirus dan memadamkan dirinya.
Bercakap kepada Cointelegraph, Encik Logan Abbott, presiden SourceForge, mengatakan perisian hasad itu menggunakan hos web projek percuma untuk mencipta laman web dan memautkan kepada fail muat turun yang dihoskan di tempat lain.
“Tiada fail jahat yang dihoskan di SourceForge, dan tiada pelanggaran apa-apa jenis. Pelaku jahat dan projek yang dipersoalkan telah dikeluarkan hampir serta-merta selepas ia ditemui,” katanya.
“Walau bagaimanapun, kami telah meletakkan langkah-langkah keselamatan tambahan supaya laman web projek yang menggunakan hos web percuma tidak boleh memaut kepada fail yang dihoskan secara luaran atau menggunakan pengalihan yang mencurigakan pada masa hadapan.”
Semua fail di laman utama SourceForge diimbas untuk perisian hasad, dan Abbott mengatakan itulah tempat pengguna harus “memuat turun fail.”
Penyerang boleh menjual akses sistem kepada orang lain
Kaspersky mengatakan beberapa fail dalam muat turun palsu adalah kecil, yang menimbulkan “bendera merah, kerana aplikasi office tidak pernah sekecil itu, walaupun apabila dimampatkan.”
Fail lain dipenuhi dengan sampah untuk meyakinkan pengguna bahawa mereka melihat pemasang perisian yang sah.
Firma itu mengatakan penyerang mengamankan akses kepada sistem yang dijangkiti “melalui pelbagai kaedah, termasuk yang tidak konvensional.”
“Walaupun serangan itu terutamanya menyasarkan mata wang kripto dengan menggunakan miner dan ClipBanker, penyerang boleh menjual akses sistem kepada pelaku yang lebih berbahaya.”
Antara muka adalah dalam bahasa Rusia, yang Kaspersky spekulasi boleh bermakna ia menyasarkan pengguna berbahasa Rusia.
“Telemetri kami menunjukkan bahawa 90% daripada mangsa berpotensi berada di Rusia, di mana 4,604 pengguna menemui skim ini antara awal Januari dan akhir Mac,” laporan itu menyatakan.
Untuk mengelakkan menjadi mangsa, Kaspersky mengesyorkan hanya memuat turun perisian dari sumber yang dipercayai kerana program cetak rompak dan pilihan muat turun alternatif membawa risiko yang lebih tinggi.
Berkaitan: Penggodam menjual telefon palsu dengan perisian hasad pencuri kripto
“Mengedar perisian hasad yang menyamar sebagai perisian cetak rompak bukanlah sesuatu yang baru,” kata syarikat itu. “Apabila pengguna mencari cara untuk memuat turun aplikasi di luar sumber rasmi, penyerang menawarkan cara mereka sendiri. Mereka terus mencari cara baru untuk membuat laman web mereka kelihatan sah.”
Firma lain juga telah membunyikan amaran mengenai bentuk baru perisian hasad yang menyasarkan pengguna kripto.
Threat Fabric menyatakan dalam laporan 28 Mac ia menemui keluarga baru perisian hasad yang boleh melancarkan lapisan palsu untuk menipu pengguna Android agar memberikan frasa benih kripto mereka semasa ia mengambil alih peranti.