Sahte Microsoft Office Eklentileriyle Kötü Amaçlı Yazılım Dağıtılıyor
Kötü niyetli kişiler, SourceForge platformunu kullanarak sahte Microsoft Office eklenti araçları aracılığıyla kötü amaçlı yazılımlar yayıyor. Bu yazılımlar, kurbanların bilgisayarlarına sızarak hem kripto para madenciliği yapıyor hem de cüzdan bilgilerini çalıyor.
Sahte Proje Gerçek Microsoft Sayfasını Taklit Ediyor
SourceForge.net, açık kaynaklı projeler için yazılım barındırma ve dağıtım hizmeti sunan, versiyon kontrolü ve hata takibi gibi özellikleriyle öne çıkan yasal bir platformdur. Ancak, projelerin serbestçe paylaşılabilmesi bazı açıkları da beraberinde getiriyor. Bu olayda kötü niyetli kişiler, Microsoft’un resmî GitHub projesi Office-Addin-Scripts’in içeriğini kopyalayarak “officepackage” adlı sahte bir proje oluşturdu.
Söz konusu sahte proje, SourceForge’un sunduğu web barındırma hizmeti aracılığıyla “officepackage.sourceforge.io” adresinde yayımlandı. Arama motorlarında “Office eklentileri” gibi ifadelerle yapılan sorgularda üst sıralarda yer alması sayesinde pek çok kullanıcıyı tuzağa düşürdü. Sayfada “Office Add-ins” ve “Download” butonları yer alıyor. Bu butonlara tıklayan kullanıcılar, şifre korumalı bir ZIP dosyası ve içinde şifreyi barındıran bir metin dosyası indiriyor.
İndirilen arşivde yer alan 700 MB boyutundaki MSI dosyası, geleneksel antivirüs programlarından kaçmak için bu şekilde şişirilmiş. Dosya çalıştırıldığında “UnRAR.exe” ve “51654.rar” dosyalarını sistemde çalıştırıyor. Bu süreçte GitHub üzerinden indirilen bir Visual Basic betiği aracılığıyla başka bir toplu işlem dosyası olan confvk.bat çağrılıyor.
Bu betik, çalıştığı ortamı analiz ediyor ve kullanılan antivirüs programlarını tespit ettikten sonra başka bir betik (confvz.bat) indirerek çalıştırıyor. Ardından, Windows Kayıt Defteri’ne müdahale ederek sistemde kalıcılığını sağlıyor.
Arşivde yer alan zararlı dosyalar arasında AutoIT yorumlayıcısı, ters bağlantı kuran Netcat aracı ve iki zararlı DLL (Icon.dll ve Kape.dll) bulunuyor. Bu dosyalarla sistemin işlem gücü kripto para madenciliği için kullanılıyor ve panoya kopyalanan kripto para adresleri değiştiriliyor.
Kötü amaçlı yazılım, enfekte ettiği sistemin bilgilerini Telegram API aracılığıyla saldırganlara iletiyor. Bu kanal, sisteme daha fazla zararlı yazılım yüklemek için de kullanılabiliyor. 9 Nisan 2025 tarihinde SourceForge Başkanı Logan Abbott, BleepingComputer’a yaptığı açıklamada şu ifadeleri kullandı:
“SourceForge ana sitesinde hiçbir zararlı dosya barındırılmadı ve herhangi bir güvenlik ihlali yaşanmadı. Şüpheli proje fark edilir edilmez kaldırıldı. Ana sitede barındırılan tüm dosyalar zararlı yazılımlara karşı taranıyor. Ayrıca, proje web sitelerinde dış bağlantılarla dosya indirmeyi ya da yönlendirme yapmayı engelleyecek yeni önlemler devreye alındı.”
Uzmanlar, yazılım indirirken yalnızca doğrulanmış yayıncıları tercih etmeyi, tercihen GitHub gibi resmî kaynaklardan dosya temin etmeyi ve indirdikleri her dosyayı güncel bir antivirüs programıyla taramayı öneriyor.
Sahte web sitelerinin giderek daha ikna edici hâle gelmesi nedeniyle kullanıcıların daha dikkatli olması ve bilinmeyen kaynaklara karşı temkinli yaklaşması önem taşıyor.
