Image by Rawpixel.com, from Freepik
Nova Campanha de Malware Explora Projetos do SourceForge para Roubar Cripto & Espionar Usuários
Tempo de leitura: 3 minuto
Última atualização: Apr 10, 2025
-
![Kiara Fabbri]()
-
![Equipe de localização e tradução]()
Traduzido por Equipe de localização e tradução Serviços de localização e tradução
Uma nova campanha de malware está atacando usuários através do SourceForge, um site confiável conhecido por hospedar projetos de software de código aberto.
Está com pressa? Aqui estão os fatos rápidos:
- Vítimas baixam um instalador falso contendo um minerador de criptomoedas escondido e o ClipBanker.
- O malware envia dados do usuário para os invasores via API do Telegram.
- A cadeia de ataque inclui scripts VB, comandos PowerShell e interpretadores AutoIt.
Pesquisadores da Kaspersky descobriram um esquema em que os invasores usam um projeto falso para enganar as pessoas a baixarem arquivos maliciosos disfarçados de ferramentas de escritório.
O falso projeto, chamado “officepackage”, parece inofensivo na página do SourceForge. Além disso, ele copia sua descrição de um projeto real de complementos do Microsoft Office no GitHub. No entanto, o domínio relacionado officepackage.sourceforge.io aponta para um site completamente diferente que lista falsos aplicativos de escritório com botões de “Download”.
Os pesquisadores explicam que as páginas são indexadas pelos motores de busca, então elas parecem legítimas nos resultados da pesquisa. Mas, em vez de software útil, os usuários são conduzidos através de um labirinto confuso de páginas de download que, no final, instalam malware em seus computadores.
O arquivo baixado, chamado vinstaller.zip, contém ferramentas ocultas, incluindo um arquivo protegido por senha e um Instalador do Windows que parece grande e legítimo, mas na verdade está repleto de dados inúteis para enganar os usuários. Quando lançado, ele executa um script em segredo que baixa arquivos do GitHub, extrai componentes maliciosos e começa a espionar o dispositivo.
Um dos scripts ocultos envia os detalhes do dispositivo da vítima para os invasores através do Telegram. Isso inclui o endereço IP do computador, nome de usuário, software antivírus e até mesmo o nome da CPU.
O malware faz duas coisas principais: primeiro, instala um minerador de criptomoedas que usa discretamente os recursos do computador para gerar dinheiro digital para os invasores.
Em segundo lugar, instala um tipo de malware chamado ClipBanker, que espera que os usuários copiem e cole endereços de carteiras de criptomoedas. Quando o fazem, ele substitui o endereço da carteira por um pertencente ao invasor, redirecionando fundos para eles.
O malware usa vários métodos para permanecer no sistema e reiniciar automaticamente mesmo após o reboot. Ele se esconde em pastas do sistema, adiciona chaves especiais no registro, cria serviços falsos do Windows e até sequestra ferramentas de atualização do sistema.
Para se manter seguro, os especialistas aconselham veementemente a baixar software apenas de fontes oficiais, pois os downloads piratas ou não oficiais sempre representam um risco maior de infecção.
História anterior
Artigos mais recentes 
Deixe um comentário
Cancelar