Хакери почали використовувати Microsoft Office для крадіжки цифрових активів

Експерти виявили масштабну кампанію з поширення шкідливого ПЗ під виглядом розширень для Microsoft Office. Атака спрямована на криптоінвесторів і супроводжується встановленням вбудованого майнера і вірусу ClipBanker, що краде криптовалюту шляхом підміни адрес у буфері обміну.

Зловмисники розмістили проєкт із назвою officepackage на популярному ресурсі SourceForge, маскуючи його під набір легітимних доповнень. Програма пропонує користувачам список додатків, візуально ідентичних оригінальним, але після встановлення активує шкідливе навантаження.

Після запуску модифікованого установника жертва мимоволі дозволяє обхід системного захисту, встановлюється зв’язок із віддаленим сервером, завантажується майнер і запускається ClipBanker. Цей вірус непомітно підміняє адреси криптогаманців, що призводить до прямих крадіжок коштів під час спроби переказу.

За оцінкою фахівців, основна цільова аудиторія хакерів — російськомовні користувачі. З більш ніж 4600 постраждалих, 90% перебувають у Росії. Причиною уразливості стала обмежена доступність Microsoft Office після того, як компанія покинула країну, що змусило багатьох звертатися до альтернативних джерел завантаження, включно з SourceForge.

Експерти закликають уникати завантаження програм з неперевірених джерел. Навіть авторитетні платформи можуть використовуватися зловмисниками, якщо перевірка контенту, що публікується, не проводиться належним чином.