Cibercriminosos estão utilizando o SourceForge, uma plataforma legítima de hospedagem de software, para distribuir malware disfarçado de complementos da Microsoft Office. A campanha, descoberta pela Kaspersky, comprometeu mais de 4.600 sistemas, com a maioria dos casos registrados na Rússia. Embora o SourceForge permita o envio aberto de projetos, o uso da plataforma para esse tipo de ataque ainda é incomum. O projeto malicioso, nomeado “officepackage”, copiava a descrição e os arquivos de um repositório legítimo da Microsoft hospedado no GitHub, criando a aparência de uma ferramenta de desenvolvimento confiável.
Leia também
Plataforma promete segurança em devops com I.A.
Surto de ataques de phishing com QR codes
No entanto, ao pesquisar por “complementos de escritório” em mecanismos como o Google, os usuários eram direcionados a uma página falsa hospedada em um subdomínio oferecido pelo SourceForge, onde eram induzidos a baixar um arquivo ZIP protegido por senha. Esse ZIP continha um instalador MSI de 700 MB, inflado propositalmente para dificultar a detecção por antivírus. A instalação iniciava uma sequência de scripts maliciosos que buscavam arquivos no GitHub, checavam se o ambiente era seguro para execução e baixavam novas instruções.
O ataque envolvia múltiplos componentes, incluindo um interpretador AutoIT, a ferramenta Netcat para controle remoto, e duas bibliotecas DLL: uma destinada à mineração de criptomoedas e outra que funcionava como um clipper, substituindo endereços de carteiras copiados pela vítima por outros controlados pelo invasor. A infraestrutura do ataque ainda utilizava chamadas de API do Telegram para enviar dados coletados e receber comandos, permitindo que os criminosos adicionassem novas cargas às máquinas infectadas. O projeto já foi removido do SourceForge, e Logan Abbott, presidente da plataforma, afirmou que não houve qualquer comprometimento dos sistemas principais. Segundo ele, os arquivos maliciosos estavam hospedados fora do domínio principal e foram removidos rapidamente após a detecção. Abbott também declarou que novas medidas foram implementadas para impedir o uso abusivo de subdomínios, incluindo restrições a redirecionamentos e links externos suspeitos.
O caso reforça a importância de se obter softwares apenas de canais oficiais e confiáveis, como os repositórios legítimos do GitHub. Também é essencial verificar manualmente a procedência dos arquivos e escaneá-los com soluções de segurança atualizadas antes da instalação. O uso de plataformas legítimas para disseminar malware mostra o esforço dos atacantes em construir campanhas convincentes e furtivas, aproveitando-se da confiança que os usuários depositam nesses ambientes.
