Hackers διανέμουν διάφορα κακόβουλα λογισμικά (malware cocktail) μέσω πειρατικών εκδόσεων του Microsoft Office, που προωθούνται σε ιστότοπους torrent.
Τα malware που διανέμονται, περιλαμβάνουν: trojans απομακρυσμένης πρόσβασης (RAT), cryptocurrency miners, προγράμματα λήψης κακόβουλου λογισμικού, proxy tools και προγράμματα αποφυγής των λύσεων ασφαλείας.
Το AhnLab Security Intelligence Center (ASEC) εντόπισε την εκστρατεία και παρατήρησε ότι βρίσκεται σε εξέλιξη. Οι Κορεάτες ερευνητές ανακάλυψαν ότι οι επιτιθέμενοι χρησιμοποιούν διάφορα δολώματα, όπως το Microsoft Office, τα Windows και τον επεξεργαστή κειμένου Hangul, ο οποίος είναι δημοφιλής στην Κορέα.
Δείτε επίσης: Κυβερνοεγκληματίες καταχρώνται το Stack Overflow για διανομή malware
Πειρατικές εκδόσεις του Microsoft Office διανέμουν malware
Πολλοί χρήστες καταφεύγουν σε cracked versions δημοφιλών λογισμικών, αν και αυτό είναι επικίνδυνο. Σε αυτή την εκστρατεία, το σπασμένο πρόγραμμα εγκατάστασης του Microsoft Office διαθέτει μια καλοφτιαγμένη διεπαφή, η οποία επιτρέπει στους χρήστες να επιλέξουν την έκδοση που θέλουν να εγκαταστήσουν, τη γλώσσα και αν θα χρησιμοποιήσουν παραλλαγές 32 ή 64 bit.
Ωστόσο, στο παρασκήνιο, το πρόγραμμα εγκατάστασης εκκινεί ένα .NET malware, που έρχεται σε επαφή με ένα κανάλι Telegram ή Mastodon για να λάβει μια έγκυρη διεύθυνση URL, από όπου θα λάβει πρόσθετα στοιχεία.
Η διεύθυνση URL οδηγεί στο Google Drive ή στο GitHub. Οι επιτιθέμενοι χρησιμοποιούν νόμιμες υπηρεσίες, για να μην ενεργοποιηθούν οι προειδοποιήσεις των antivirus. Τα base64 payloads, που φιλοξενούνται σε αυτές τις πλατφόρμες, περιέχουν εντολές PowerShell που εισάγουν διάφορα malware στο σύστημα.
Το malware component ‘Updater’ καταγράφει εργασίες στο Windows Task Scheduler για να διασφαλίσει ότι παραμένει μεταξύ των επανεκκινήσεων του συστήματος.
Δείτε επίσης: LightSpy malware: Νέα στοιχεία για τη macOS έκδοση
Οι ερευνητές παρατήρησαν τη διανομή των ακόλουθων malware, μέσω αυτής της κακόβουλης εκστρατείας Microsoft Office:
Orcus RAT: Επιτρέπει πλήρη απομακρυσμένο έλεγχο, keylogging, πρόσβασης στην κάμερα web, λήψη screenshots και εξαγωγή δεδομένων.
XMRig: Cryptocurrency miner που χρησιμοποιεί πόρους συστήματος για την εξόρυξη Monero.
3Proxy: Μετατρέπει τα μολυσμένα συστήματα σε proxy servers, επιτρέποντας στους εισβολείς να δρομολογούν κακόβουλο traffic.
PureCrypter: Κατεβάζει και εκτελεί επιπλέον κακόβουλα payloads από εξωτερικές πηγές, διασφαλίζοντας ότι το σύστημα παραμένει μολυσμένο.
AntiAV: Διαταράσσει και απενεργοποιεί το λογισμικό ασφαλείας τροποποιώντας τα αρχεία διαμόρφωσής του, αποτρέποντας τη σωστή λειτουργία του λογισμικού και αφήνοντας το σύστημα ευάλωτο.
Ακόμα κι αν ο χρήστης ανακαλύψει και καταργήσει οποιοδήποτε από τα παραπάνω κακόβουλα προγράμματα, το module ‘Updater’ τα επαναφέρει.
Δείτε επίσης: Πειρατικές εφαρμογές μολύνουν macOS συστήματα με malware
Οι χρήστες θα πρέπει να είναι προσεκτικοί κατά την εγκατάσταση αρχείων που έχουν ληφθεί από αμφίβολες πηγές και να αποφεύγουν το πειρατικό/σπασμένο λογισμικό.
Γενικά, για να προστατευτείτε από τέτοιου είδους κινδύνους (μόλυνση με malware), η πιο αξιόπιστη προσέγγιση είναι να κατεβάζετε λογισμικό (συμπεριλαμβανομένου του Microsoft Office) μόνο από πιστοποιημένες πηγές. Τα torrents, τα cracks και άλλο λογισμικό που μπορείτε να βρείτε στο διαδίκτυο είναι συνήθως μολυσμένα με κακόβουλο λογισμικό και ιούς. Επιπλέον, μέτρα ασφαλείας, όπως η εγκατάσταση ενός firewall, η χρήση ενός συστήματος προστασίας από ιούς, καθώς και ο έλεγχος ταυτότητας πολλαπλών παραγόντων θα διατηρήσουν τις συσκευές ασφαλείς.
Πηγή: www.bleepingcomputer.com
