Versions piratées de Microsoft Office utilisées pour propager des cocktails de malware

Les chercheurs du Centre de sécurité AhnLab (ASEC) ont identifié une campagne en cours qui distribue des cocktails de malware via des versions piratées de MS Office et de Windows téléchargées sur des sites de torrent.

Les attaquants ont distribué diverses souches de malware aux utilisateurs coréens, telles que des téléchargeurs, CoinMiner, des chevaux de Troie d’accès à distance (RAT), Proxy et AntiAV.

Sous le couvert de versions piratées de programmes légitimes comme Windows, MS Office et Hangul Word Processor, un outil populaire en Corée.

Les chercheurs ont déclaré ceci

Les chercheurs coréens, dans leur rapport, affirment que les acteurs de la menace ont amélioré leur malware en s’enregistrant dans le Planificateur de tâches du système infecté, qui exécute des commandes PowerShell pour installer le malware.

Si le Planificateur de tâches n’est pas corrigé, de nouvelles souches de malware sont installées de manière répétée sur le système.

Cependant, les utilisateurs ayant installé V3 ne rencontrent pas de problèmes avec les installations répétées de malware, car V3 corrige les tâches installées par le malware.

Étant donné que les souches de malware installées incluent un type qui exécute des mises à jour, l’infection continue de persister même après le blocage de l’URL précédente, car les commandes PowerShell enregistrées dans le Planificateur de tâches changent constamment.

En conséquence, l’attaquant prend le contrôle des systèmes coréens infectés et les utilise comme des proxies ou pour miner des cryptomonnaies, mettant ainsi en danger les informations sensibles des utilisateurs.

Le rapport ajoute en outre qu’un cas de distribution de malware récemment détecté, déguisé en version piratée de MS Office, a été développé en utilisant .NET et a récemment été trouvé obfusqué.

Avant l’obfuscation, il suivait le format ci-dessous et obtenait l’URL de téléchargement en accédant à Telegram après son exécution initiale.

Le malware récemment distribué se composait de deux URL Telegram et d’une URL Mastodon, chacune d’elles incluant une chaîne utilisée dans l’URL Google Drive ou GitHub pour chaque profil.

De plus, les données téléchargées depuis GitHub et Google Drive étaient des chaînes cryptées en Base64, qui, une fois décryptées, étaient en réalité des commandes PowerShell responsables de l’installation de diverses souches de malware.

Les chercheurs de l’ASEC affirment que le malware qui a été trouvé installé sur le système compromis est :

• Orcus RAT : Prend en charge des fonctionnalités de contrôle à distance de base, telles que la collecte d’informations système, l’exécution de commandes et des tâches pour les fichiers, les registres et les processus. Il fournit également des fonctions d’exfiltration d’informations utilisant des keyloggers et des webcams.

• XMRig : Il interrompt le minage lorsque les programmes exécutés par le système occupent une quantité considérable de ressources système, comme les jeux, les utilitaires de surveillance matérielle et les programmes de traitement graphique, afin d’éviter la détection.

• 3Proxy : Un outil open-source équipé d’une fonctionnalité de serveur proxy qui ajoute le port 3306 à la règle du pare-feu, et injecte 3Proxy dans le processus légitime, permettant à l’acteur de menace d’abuser du système infecté comme proxy.

• PureCrypter : Télécharge et exécute une charge utile supplémentaire à partir de sources externes.

• AntiAV : Perturbe et empêche un programme de sécurité de fonctionner correctement en modifiant constamment son fichier de configuration à l’intérieur du dossier d’installation chaque fois que le programme est exécuté, laissant ainsi le système vulnérable à l’opération des autres composants.

• Updater : Responsable du téléchargement et du maintien de la persistance du malware. Il s’enregistre également dans le Planificateur de tâches pour se permettre de fonctionner de manière persistante même après un redémarrage du système.

Les utilisateurs sont invités à faire preuve de prudence lors du téléchargement de logiciels piratés ou crackés à partir de sources suspectes pour éviter le risque d’infecter leurs appareils.