Nueva Campaña de Malware Explota Proyectos de SourceForge para Robar Cripto y Espiar a los Usuarios

Image by Rawpixel.com, from Freepik

Nueva Campaña de Malware Explota Proyectos de SourceForge para Robar Cripto y Espiar a los Usuarios

Tiempo de lectura: 3 min.

Actualizado por última vez: Apr 10, 2025

Una nueva campaña de malware está dirigida a los usuarios a través de SourceForge, un sitio de confianza conocido por alojar proyectos de software de código abierto.

¿Con prisas? Aquí están los datos rápidos:

  • Las víctimas descargan un instalador falso que contiene un minero de criptomonedas oculto y ClipBanker.
  • El malware envía los datos del usuario a los atacantes a través de la API de Telegram.
  • La cadena de ataque incluye scripts VB, comandos PowerShell y los intérpretes AutoIt.

Investigadores de Kaspersky descubrieron un esquema en el que los atacantes usan un proyecto falso para engañar a las personas y hacerlas descargar archivos maliciosos disfrazados de herramientas de oficina.

El proyecto falso, llamado “officepackage”, parece inofensivo en la página de SourceForge. Además, copia su descripción de un proyecto real de complementos de Microsoft Office en GitHub. Pero el dominio relacionado officepackage.sourceforge.io apunta a un sitio web completamente diferente que enumera aplicaciones de oficina falsas con botones de “Descargar”.

Los investigadores explican que las páginas están indexadas por los motores de búsqueda, por lo que parecen legítimas en los resultados de búsqueda. Pero en lugar de software útil, los usuarios son guiados a través de un laberinto confuso de páginas de descarga que finalmente instalan malware en sus computadoras.

El archivo descargado, llamado vinstaller.zip, contiene herramientas ocultas, incluyendo un archivo protegido por contraseña y un instalador de Windows que parece grande y legítimo, pero que en realidad está lleno de datos basura para engañar a los usuarios. Cuando se ejecuta, corre un script en secreto que descarga archivos de GitHub, extrae componentes maliciosos y comienza a espiar el dispositivo.

Uno de los scripts ocultos envía los detalles del dispositivo de la víctima a los atacantes a través de Telegram. Esto incluye la dirección IP del ordenador, el nombre de usuario, el software antivirus e incluso el nombre de la CPU.

El malware hace dos cosas principales: primero, instala un minero de criptomonedas que utiliza silenciosamente los recursos del ordenador para generar dinero digital para los atacantes.

En segundo lugar, instala un tipo de malware llamado ClipBanker, que espera a que los usuarios copien y peguen direcciones de carteras de criptomonedas. Cuando lo hacen, reemplaza la dirección de la cartera con una propiedad del atacante, redirigiendo los fondos hacia ellos.

El malware utiliza varios métodos para permanecer en el sistema y reiniciarse automáticamente incluso después de reiniciar. Se esconde en carpetas del sistema, añade claves de registro especiales, crea servicios falsos de Windows e incluso secuestra herramientas de actualización del sistema.

Para mantenerse a salvo, los expertos aconsejan fervientemente descargar software solo de fuentes oficiales, ya que las descargas pirateadas o no oficiales siempre conllevan un mayor riesgo de infección.

¿Te ha gustado este artículo?
¡Puntúalo!
No me ha gustado nada No me gusta Ha estado bien ¡Muy bueno! ¡Me ha encantado!

¡Nos alegra que te guste nuestro trabajo!

Eres importante para nosotros, por eso, nos gustaría que nos dejaras una opinión en Trustpilot, ¿te animas? Se tarda muy poco y significa mucho para nosotros. ¡Gracias por todo!

Valóranos en Trustpilot
0 Votado por 0 usuarios
Título
Comentar
Gracias por tu opinión
Loader
Please wait 5 minutes before posting another comment.
Comment sent for approval.

Dejar un comentario

Loader
Loader Ver más