De acordo com a Cointelegraph, a empresa de cibersegurança Kaspersky identificou uma nova ameaça direcionada a usuários de criptomoedas através de malware embutido em extensões falsas do Microsoft Office carregadas no site de hospedagem de software SourceForge. A listagem maliciosa, chamada “officepackage”, inclui complementos genuínos do Microsoft Office, mas oculta um malware conhecido como ClipBanker. Esse malware substitui um endereço de carteira de criptomoeda copiado na área de transferência de um computador pelo endereço do atacante, representando um risco significativo para usuários que normalmente copiam endereços de carteira em vez de digitá-los. Se um dispositivo estiver infectado com o ClipBanker, os fundos da vítima podem ser redirecionados para um destino inesperado.
A equipe de pesquisa em anti-malware da Kaspersky destacou que a página do projeto falso no SourceForge imita uma página de ferramenta de desenvolvedor legítima, exibindo complementos de escritório e botões de download, e pode aparecer nos resultados de busca. Outro recurso da cadeia de infecção do malware envolve a transmissão de informações do dispositivo infectado, como endereços IP, país e nomes de usuário, para hackers via Telegram. O malware também é capaz de escanear o sistema infectado em busca de sinais de instalações anteriores ou software antivírus e se deletar se for detectado.
A empresa de cibersegurança observou que alguns arquivos no download falso são suspeitosamente pequenos, levantando preocupações, pois aplicativos de escritório são tipicamente maiores, mesmo quando compactados. Outros arquivos são preenchidos com dados inúteis para enganar os usuários, fazendo-os acreditar que estão instalando software genuíno. Os atacantes garantem acesso a sistemas infectados através de vários métodos, incluindo os não convencionais. Embora o principal alvo do ataque seja a criptomoeda, ao implantar um minerador e o ClipBanker, os atacantes poderiam potencialmente vender o acesso ao sistema para atores mais perigosos. A interface está em russo, sugerindo que pode ter como alvo usuários de língua russa, com a telemetria indicando que 90% das potenciais vítimas estão na Rússia, onde 4.604 usuários encontraram o esquema entre o início de janeiro e o final de março.
Para mitigar o risco de se tornar vítima de tais ataques, a Kaspersky aconselha a baixar software apenas de fontes confiáveis, uma vez que programas pirateados e opções de download alternativas apresentam riscos maiores. A empresa enfatizou que distribuir malware disfarçado de software pirateado não é uma nova tática, e os atacantes buscam continuamente maneiras de fazer seus sites parecerem legítimos. Outras empresas de cibersegurança também levantaram preocupações sobre novas formas de malware direcionadas a usuários de criptomoedas. A Threat Fabric relatou uma nova família de malware capaz de lançar uma sobreposição falsa para enganar usuários do Android a fornecer suas frases-semente de criptomoeda, efetivamente assumindo o controle do dispositivo.