Kaspersky kennzeichnet Krypto-Stealing-Malware, die sich in gefälschten Microsoft Office Add-Ins versteckt

Das Cybersicherheitsunternehmen Kaspersky hat eine neue ausgeklügelte Malware entdeckt, die mit gefälschten Microsoft Office Add-Ins Kryptowährungen stiehlt. Diese legitim aussehenden Erweiterungen werden auf SourceForge, einer Website-Hosting-Plattform, mit Beschreibungen hochgeladen, die von dem legitimen GitHub-Projekt kopiert wurden.

Die Beschreibung der Malware, die am Dienstag veröffentlicht wurde, erscheint mit dem SourceForge-Domainnamen und Webhosting. „Seiten wie diese werden von Suchmaschinen gut indiziert und erscheinen in den Suchergebnissen“, schreiben die Cybersecurity-Experten von Kaspersky.

Unter dem Namen „officepackage“ zeigt die Erweiterung eine Liste von Office-Anwendungen mit Versionsnummern und „Download“-Buttons an.

Gefälschte Downloads sind kleiner und wecken „rote Fahnen“

Kaspersky stellte fest, dass die Downloads etwa sieben Megabyte groß sind. „Das lässt aufhorchen, denn Office-Anwendungen sind nie so klein, selbst wenn sie komprimiert sind.

Die Download-Seiten führen die Opfer auf eine andere Seite mit einem Download-Button, der ein passwortgeschütztes Archiv enthält. Die Zip-Datei nach dem Herunterladen der Software ist jedoch mehr als 700 Megabyte groß.

Angreifer verwenden die Pump-Technik, um die Dateigröße aufzublähen, damit sie legitim aussieht, indem sie Junk-Daten anhängen, wie Kaspersky feststellte.

„Da die Benutzer nach Möglichkeiten suchen, Anwendungen außerhalb der offiziellen Quellen herunterzuladen, bieten die Angreifer ihre eigenen an“, heißt es in dem Bericht. „Sie suchen ständig nach neuen Wegen, um ihre Websites legitim aussehen zu lassen.

⚠️ Cybersecurity firm @Kaspersky has issued a warning about a widespread malware campaign targeting users on @GitHub. #Kaspersky #GitHubhttps://t.co/TJg8BmgHiV

— Cryptonews.com (@cryptonews) February 26, 2025

Kaspersky findet ‘ClipBanker’-Malware

Das Unternehmen betonte, dass die Kampagne den ClipBanker-Trojaner über SourceForge einschleust. „ClipBanker ist eine Malware-Familie, die die Adressen von Kryptowährungs-Wallets in der Zwischenablage durch die Adressen der Angreifer ersetzt“, so Kaspersky.

Benutzer von Krypto-Wallets kopieren normalerweise die Adressen, anstatt sie abzutippen. Mit der ClipBanker-Malware landet das Geld des Opfers an einem völlig unerwarteten Ort.

Außerdem könnten die Angreifer neben dem Diebstahl von Kryptowährungen auch den Systemzugang an gefährlichere Akteure verkaufen.

„Wir raten Benutzern davon ab, Software aus nicht vertrauenswürdigen Quellen herunterzuladen. Wenn Sie aus irgendeinem Grund nicht in der Lage sind, eine Software aus offiziellen Quellen zu beziehen, denken Sie daran, dass die Suche nach alternativen Download-Optionen immer mit höheren Sicherheitsrisiken verbunden ist“, warnte Kaspersky.