Microsoft Office Gecrackte Versionen Werden Verwendet, Um Malware-Cocktails Zu Verbreiten

Forscher des AhnLab Security Intelligence Center (ASEC) haben eine laufende Kampagne identifiziert, die Malware-Cocktails über gecrackte Versionen von MS Office und Windows verbreitet, die von Torrent-Websites heruntergeladen wurden.

Die Angreifer verteilten verschiedene Malware-Stämme an koreanische Benutzer, wie Downloader, CoinMiner, Remote Access Trojans (RATs), Proxy und AntiAV.

Unter dem Vorwand von gecrackten Versionen legitimer Programme wie Windows, MS Office und Hangul Word Processor, einem in Korea beliebten Tool.

Die Forscher Sagten Dies

Die koreanischen Forscher sagen in ihrem Bericht, dass Bedrohungsakteure ihre Malware aktualisiert haben, indem sie sich im Taskplaner des infizierten Systems registrierten, der PowerShell-Befehle ausführt, um die Malware zu installieren.

Wenn der Taskplaner nicht behoben wird, werden neue Malware-Stämme wiederholt auf dem System installiert.

Benutzer, die V3 installiert haben, erleben jedoch keine Probleme mit wiederholten Malware-Installationen, da V3 die vom Malware installierten Aufgaben behebt.

Da die installierten Malware-Stämme einen Typ enthalten, der Updates ausführt, bleibt die Infektion bestehen, selbst nachdem die vorherige URL blockiert wurde, da sich die PowerShell-Befehle, die im Taskplaner registriert sind, ständig ändern.

Infolgedessen erlangt der Angreifer die Kontrolle über die infizierten koreanischen Systeme und nutzt sie als Proxys oder um Kryptowährung zu schürfen, wodurch die sensiblen Informationen der Benutzer in Gefahr geraten, gestohlen zu werden.

Der Bericht fügt weiter hinzu, dass ein kürzlich entdeckter Malware-Verteilungsfall, der sich als gecrackte Version von MS Office tarnte, mit .NET entwickelt wurde und kürzlich als obfuskiert gefunden wurde.

Vor der Obfuskation folgte es dem untenstehenden Format und erhielt die Download-URL, indem es nach der ersten Ausführung auf Telegram zugriff.

Die kürzlich verteilte Malware bestand aus zwei Telegram-URLs und einer Mastodon-URL, von denen jede eine Zeichenfolge enthielt, die in der Google Drive- oder GitHub-URL für jedes Profil verwendet wurde.

Darüber hinaus waren die von GitHub und Google Drive heruntergeladenen Daten Zeichenfolgen, die in Base64 verschlüsselt waren, die, nach der Entschlüsselung, tatsächlich PowerShell-Befehle waren, die für die Installation verschiedener Malware-Stämme verantwortlich waren.

Die ASEC-Forscher sagen, dass die Malware, die auf dem kompromittierten System installiert wurde, folgende ist:

• Orcus RAT: Unterstützt grundlegende Remote-Control-Funktionen, wie das Sammeln von Systeminformationen, die Ausführung von Befehlen und Aufgaben für Dateien, Registrierungen und Prozesse. Es bietet auch Funktionen zur Informationsexfiltration mithilfe von Keylogging und Webcams.

• XMRig: Stoppt das Mining, wenn die vom System ausgeführten Programme eine beträchtliche Menge an Systemressourcen beanspruchen, wie Spiele, Hardware-Überwachungsprogramme und Programme zur Grafikverarbeitung, um eine Erkennung zu vermeiden.

• 3Proxy: Ein Open-Source-Tool, das mit einer Proxy-Server-Funktion ausgestattet ist, die den Port 3306 zur Firewall-Regel hinzufügt und 3Proxy in den legitimen Prozess injiziert, wodurch der Bedrohungsakteur das infizierte System als Proxy missbrauchen kann.

• PureCrypter: Lädt zusätzliche Payloads aus externen Quellen herunter und führt sie aus.

• AntiAV: Stört und verhindert, dass ein Sicherheitsprogramm ordnungsgemäß funktioniert, indem es ständig seine Konfigurationsdatei im Installationsordner ändert, wann immer das Programm ausgeführt wird, wodurch das System anfällig für die Operation der anderen Komponenten bleibt.

• Updater: Verantwortlich für das Herunterladen und die Aufrechterhaltung der Persistenz der Malware. Es registriert sich auch im Taskplaner, um sich selbst zu aktivieren, selbst nach einem Systemneustart.

Benutzern wird empfohlen, Vorsicht walten zu lassen, wenn sie raubkopierte oder gecrackte Software aus verdächtigen Quellen herunterladen, um das Risiko einer Infektion ihrer Geräte zu vermeiden.