Kaspersky Labはこのほど、「A miner and the ClipBanker Trojan being distributed via SourceForge|Securelist」において、オープンソースソフトウェアの配信プラットフォーム「SourceForge」を悪用する新しいサイバー攻撃を発見したと報じた。

攻撃者は無害なMicrosoft Officeアドインプロジェクトを作成し、被害者を悪意のあるWebサイトに誘導したとされる。

  • A miner and the ClipBanker Trojan being distributed via SourceForge|Securelist

    A miner and the ClipBanker Trojan being distributed via SourceForge|Securelist

侵害経路

Kaspersky Labにより発見された問題のプロジェクトは「officepackage」とされる。このプロジェクトはGitHubの正規プロジェクトのコピーで、プロジェクト自体は無害だという。

  • 悪意のあるプロジェクト「officepackage」(左)と、正規プロジェクト(右)の比較。中央の説明文が一致 - 引用:Kaspersky

    悪意のあるプロジェクト「officepackage」(左)と、正規プロジェクト(右)の比較。中央の説明文が一致 引用:Kaspersky

SourceForgeにプロジェクトを作成すると、「sourceforge[.]io」ドメインにてホスティングされるWebサイトの1つが割り当てられる。問題のプロジェクトには「officepackage.sourceforge[.]io」が割り当てられ、Googleなど検索エンジンからOfficeアドインを検索した場合にこのWebサイトが検索結果に表示される。

Kaspersky Labによると、このWebサイトは正規のOffice開発者向けサイトを模倣しており、ここから悪意のあるアーカイブファイルが配布されたという。ダウンロードボタンをクリックすると別のダウンロードサイトなどにリダイレクトされ、最終的にvinstaller.zipという約7MBのファイルがダウンロードされる。

  • マルウェアを配布する偽サイト - 引用:Kaspersky

    マルウェアを配布する偽サイト 引用:Kaspersky

アーカイブファイルには700MBを超えるサイズのインストーラーファイル(MSI)が含まれている。元のアーカイブファイルの約100倍のサイズだが、その約99%は意味のないデータで埋められており、実際のインストーラーのサイズは約7MBとされる。インストーラーを実行すると、非常に多くの感染プロセスを経て、最終的に2つのマルウェアとバックドアが展開される。

影響と対策

最終的に展開されるマルウェアはクリプトマイナーおよびClipBankerとされる。ClipBankerはクリップボードを監視して、コピーされた暗号資産ウォレットアドレスを攻撃者のウォレットアドレスに差し替える機能があり、暗号資産を積極的に窃取する。

主な標的はロシア語圏のユーザーとされ、Kaspersky Labのテレメトリから2025年1月から3月までに4,604人が感染したとみられている。

Kaspersky Labは同様の攻撃を回避するため、信頼できないWebサイトからソフトウェアをダウンロードしないように推奨している。公式サイトからダウンロードできない場合に代替サイトからダウンロードを試みると、リスクが高まるとして避けるよう呼びかけている。