Хакеры используют фальшивые дополнения Office для кражи криптовалют

Пользователю, перешедшему по ссылке, демонстрировался обширный список программ Office с возможностью скачивания. Однако установка таких программ приводила к запуску вредоносных процессов. После запуска модифицированного установщика происходило подключение к удалённому серверу злоумышленников. Далее в систему жертвы незаметно внедрялся майнер, а также ClipBanker — вредонос, который отслеживает буфер обмена и подменяет адреса криптокошельков. В результате криптовалюта, предназначенная для законного получателя, перенаправляется на адрес злоумышленников.

По информации Kaspersky, данная вредоносная кампания преимущественно ориентирована на пользователей из русскоязычных стран. Подтверждено, что по меньшей мере 4604 пользователя пострадали от атаки, и около 90% из них находятся на территории России.

После того как множество сервисов Microsoft прекратили работу в стране, официальный доступ к продуктам Office оказался ограничен. Это привело к росту популярности альтернативных площадок для загрузки ПО. Такие сайты, как SourceForge, воспринимаются пользователями как более надёжные, чем случайные источники, что и позволяет злоумышленникам маскировать вредоносное ПО под якобы безопасное.

Kaspersky подчёркивает: скачивание программного обеспечения с непроверенных сайтов всегда сопряжено с серьёзными рисками. В ситуации, когда официальный источник недоступен, особенно важно помнить о возможных угрозах и быть осторожными при выборе альтернатив.

Ранее, в марте, специалисты из Threat Fabric уже сообщали о похожей угрозе — вирусе-трояне, нацеленном на банковские приложения и криптовалютные кошельки на Android-устройствах.