Una campaña de malware en complementos para Microsoft Office alerta a los desarrolladores

Kaspersky ha alertado de una nueva campaña de malware que usa un proyecto de desarrollo de complementos para Microsoft Office no legítimos alojados en SoundForge, con el objetivo de infectar las computadoras de las víctimas y robar criptomonedas entre otras tareas maliciosas.

SourceForge.net es una plataforma legítima de distribución y alojamiento de software que también admite control de versiones, seguimiento de errores y foros/wikis dedicados, lo que la hace muy popular entre las comunidades de proyectos de código abierto. Aunque su modelo de envío de proyectos abiertos otorga un amplio margen para el abuso, ver malware distribuido es algo que ocurre raramente. Pero puede suceder.

¡Cuidado con los complementos para Microsoft Office!

La nueva campaña detectada por Kaspersky ha afectado a más de 4.604 sistemas, la mayoría de los cuales están en Rusia, pero se han podido distribuir por Internet. Aunque SourceForge ya ha limpiado las fuentes, la firma de ciberseguridad dice que el proyecto había sido indexado por los motores de búsqueda, atrayendo tráfico de usuarios que buscaban «complementos de oficina» o similares.

El proyecto «officepackage» se presentaba como una colección de herramientas de desarrollo de complementos de Office, y su descripción y archivos son una copia del proyecto legítimo de Microsoft ‘Office-Addin-Scripts’, disponible en GitHub. Sin embargo, cuando los usuarios buscan complementos de oficina en la Búsqueda de Google (y otros motores), obtienen resultados que apuntan a «officepackage.sourceforge.io», impulsado por una función de alojamiento web independiente que SourceForge ofrece a los propietarios de proyectos.

Esa página imita una página legítima de herramientas para desarrolladores, mostrando los botones «Complementos de Office» y «Descargar». Si se hace clic en alguno, la víctima recibe un archivo ZIP con un archivo protegido con contraseña (installer.zip) y un archivo de texto con la contraseña.

El archivo contiene un archivo MSI (installer.msi) aumentado a 700 MB para evadir los análisis antivirus. Al ejecutarlo, se eliminan los archivos ‘UnRAR.exe’ y ‘51654.rar’ y se ejecuta un script de Visual Basic que obtiene un script por lotes (confvk.bat) de GitHub. El script realiza comprobaciones para determinar si se ejecuta en un entorno simulado y qué productos antivirus están activos y, a continuación, descarga otro script por lotes (confvz.bat) y descomprime el archivo RAR.

El resultado de este proceso es la infección de los equipos afectados con archivos DLL, malware de criptomonedas. Los atacantes secuestran la capacidad computacional de la máquina para minar criptomonedas desde la cuenta del atacante y, además, monitorizan el portapapeles en busca de direcciones de criptomonedas copiadas para reemplazarlas por las controladas por los ciberdelincuentes.

Se recomienda a los desarrolladores que solo descarguen software de editores confiables que puedan verificar, usen preferentemente los canales oficiales de los proyectos (en este caso, GitHub) y escaneen todos los archivos descargados con una herramienta AV potente y bien actualizada antes de la ejecución.