Versiones de Microsoft Office Crackeadas Usadas Para Difundir Cócteles de Malware

Los investigadores del Centro de Inteligencia de Seguridad AhnLab (ASEC) han identificado una campaña en curso que distribuye cócteles de malware a través de versiones crackeadas de MS Office y Windows descargadas de sitios web de torrents.

Los atacantes distribuyeron varias cepas de malware a usuarios coreanos, como descargadores, CoinMiner, troyanos de acceso remoto (RATs), Proxy y AntiAV.

Bajo la apariencia de versiones crackeadas de programas legítimos como Windows, MS Office y Hangul Word Processor, una herramienta popular en Corea.

Los Investigadores Dicen Esto

Los investigadores coreanos, en su informe, dicen que los actores de amenazas han estado mejorando su malware al registrarse en el Programador de Tareas en el sistema infectado, que ejecuta comandos de PowerShell para instalar el malware.

Si el Programador de Tareas no se remedia, nuevas cepas de malware se instalan repetidamente en el sistema.

Sin embargo, los usuarios que han instalado V3 no experimentan problemas con las instalaciones repetidas de malware, ya que V3 remedia las tareas instaladas por el malware.

Dado que las cepas de malware instaladas incluyen un tipo que ejecuta actualizaciones, la infección continúa persistiendo incluso después de bloquear la URL anterior, ya que los comandos de PowerShell registrados en el Programador de Tareas cambian constantemente.

Como resultado, el atacante obtiene control de los sistemas coreanos infectados y los utiliza como proxies o para minar criptomonedas, poniendo así en riesgo la información sensible de los usuarios.

El informe agrega además que un caso de distribución de malware detectado recientemente disfrazado como una versión crackeada de MS Office fue desarrollado utilizando .NET y se encontró recientemente que estaba ofuscado.

Antes de la ofuscación, seguía el formato a continuación y obtenía la URL de descarga accediendo a Telegram después de su ejecución inicial.

El malware distribuido recientemente consistía en dos URLs de Telegram y una URL de Mastodon, cada una de las cuales incluía una cadena utilizada en la URL de Google Drive o GitHub para cada perfil.

Además, los datos descargados de GitHub y Google Drive eran cadenas encriptadas en Base64, que, al ser desencriptadas, eran en realidad comandos de PowerShell responsables de instalar varias cepas de malware.

Los investigadores de ASEC dicen que el malware que se ha encontrado instalado en el sistema comprometido son:

• Orcus RAT: Soporta funciones básicas de control remoto, como la recopilación de información del sistema, ejecución de comandos y tareas para archivos, registros y procesos. También proporciona funciones de exfiltración de información utilizando keylogging y cámaras web.

• XMRig: Detiene la minería cuando los programas ejecutados en el sistema ocupan una cantidad considerable de recursos del sistema, como juegos, utilidades de monitoreo de hardware y programas para procesamiento gráfico, para evitar la detección.

• 3Proxy: Una herramienta de código abierto equipada con una función de servidor proxy que agrega el puerto 3306 a la regla del firewall, e inyecta 3Proxy en el proceso legítimo, permitiendo al actor de amenazas abusar del sistema infectado como un proxy.

• PureCrypter: Descarga y ejecuta cargas adicionales de fuentes externas.

• AntiAV: Interrumpe y previene que un programa de seguridad funcione correctamente al modificar constantemente su archivo de configuración dentro de la carpeta de instalación cada vez que se ejecuta el programa, dejando así el sistema vulnerable a la operación de los otros componentes.

• Updater: Responsable de descargar y mantener la persistencia del malware. También se registra en el Programador de Tareas para habilitarse a operar de manera persistente incluso después de un reinicio del sistema.

Se recomienda a los usuarios que ejerzan precaución al descargar software pirata o crackeado de fuentes sospechosas para evitar el riesgo de infectar sus dispositivos.