Pirátská verze Microsoft Office obsahuje nebezpečný malware
Zpět na blogKybernetičtí zločinci šíří malware prostřednictvím cracknutých verzí Microsoft Office propagovaných na torrentových stránkách.
Malware, který se k uživatelům prostřednictvím nelegálního softwaru dostává, zahrnuje trojské koně pro vzdálený přístup (RATs), kryptoměnové minery, nástroje pro stahování malwaru, proxy nástroje a programy proti antivirům. Cracknutý software je ale rizikový nejen kvůli obsahu malwaru, ale také kvůli absenci záruk bezpečnosti a absence oficiálních aktualizací, což zanechává uživatele vystavené možným zranitelnostem a bez ochrany před novými hrozbami. Dále, používání cracknutého softwaru často porušuje autorská práva a může mít právní následky pro uživatele.
Korejské výzkumné centrum AhnLab Security Intelligence Center (ASEC) identifikovalo probíhající kampaň a varuje před riziky stahování pirátského softwaru.
Výzkumníci objevili, že útočníci používají různý žádaný software, včetně Microsoft Office, Windows a korejského textového procesoru Hangul Word Processor.
Cracknutý instalační program Microsoft Office má pro uživatele připravené prostředí, které jim umožňuje vybrat verzi, kterou chtějí nainstalovat, jazyk a zda použít 32bitovou nebo 64bitovou variantu.
Nicméně v pozadí spouští instalační program zaheslovaný .NET malware, který kontaktuje kanál na Telegramu nebo Mastodonu, aby obdržel platnou URL adresu, odkud stáhne další komponenty.
URL adresa odkazuje na Google Drive nebo GitHub, tedy legitimní služby, které pravděpodobně nevyvolají varování bezpečnostního softwaru.
Kódové zátěže uložené na těchto platformách obsahují PowerShell příkazy, které do systému zavedou různé druhy malwaru, rozbalené pomocí 7Zip.
Malwarová komponenta „Updater“ zaregistruje úkoly v plánovači úloh systému Windows, aby se ujistila, že přežije mezi restarty systému.
Podle ASEC jsou na napadený systém instalovány následující typy malwaru:
– Orcus RAT: Umožňuje komplexní vzdálenou kontrolu, včetně zaznamenávání stisknutých kláves, přístupu k webkameře, snímání obrazovky a manipulace se systémem pro exfiltraci dat.
– XMRig: Kryptoměnový miner, který využívá systémové prostředky k těžbě kryptoměny Monero. Při vysoké zátěži zastavuje těžbu, například při hraní her, aby se vyhnul detekci.
– 3Proxy: Převádí infikované systémy na proxy servery tím, že otevírá port 3306 a vkládá je do legitimních procesů, což umožňuje útočníkům směrovat škodlivý provoz.
– PureCrypter: Stahuje a spouští další škodlivé zátěže z externích zdrojů, aby se zajistilo, že systém zůstane infikován nejnovějšími hrozbami.
– AntiAV: Ruší a deaktivuje bezpečnostní software změnou jeho konfiguračních souborů, čímž brání jeho správnému fungování a zanechává systém zranitelný pro provoz ostatních komponent.
I když uživatel odstraní některý z výše uvedených malwarů, modul „Updater“, který se spouští při startu systému, jej znovu zavede.
Uživatelé by měli být opatrní při instalaci souborů stažených z pochybných zdrojů a obecně se důrazně vyhýbat se pirátskému nebo cracknutému softwaru. Podobné kampaně byly využity k šíření ransomwaru STOP, což je nejaktivnější ransomwarová operace cílená na spotřebitele. Jelikož tyto soubory nejsou digitálně podepsány a uživatelé jsou ochotni ignorovat varování antivirů při jejich spouštění, jsou často využívány k infikování systémů malwarem, v tomto případě celým souborem.
Zdroj: Bleeping Computer
14. 6. 2024