Versioni Craccate di Microsoft Office Utilizzate per Diffondere Cocktail di Malware

I ricercatori dell’AhnLab Security Intelligence Center (ASEC) hanno identificato una campagna in corso che distribuisce cocktail di malware attraverso versioni craccate di MS Office e Windows scaricate da siti torrent.

Gli attaccanti hanno distribuito vari ceppi di malware agli utenti coreani, come downloader, CoinMiner, trojan di accesso remoto (RAT), Proxy e AntiAV.

Sotto le spoglie di versioni craccate di programmi legittimi come Windows, MS Office e Hangul Word Processor, uno strumento popolare in Corea.

I Ricercatori Hanno Detto Questo

I ricercatori coreani, nel loro rapporto, affermano che gli attori della minaccia hanno aggiornato il loro malware registrandosi nel Task Scheduler nel sistema infetto, che esegue comandi PowerShell per installare il malware.

Se il Task Scheduler non viene rimediato, nuovi ceppi di malware vengono ripetutamente installati nel sistema.

Tuttavia, gli utenti che hanno installato V3 non riscontrano problemi con le installazioni ripetute di malware, poiché V3 rimedia ai compiti installati dal malware.

Poiché i ceppi di malware installati includono un tipo che esegue aggiornamenti, l’infezione continua a persistere anche dopo aver bloccato l’URL precedente, poiché i comandi PowerShell registrati nel Task Scheduler cambiano costantemente.

Di conseguenza, l’attaccante guadagna il controllo dei sistemi coreani infetti e li utilizza come proxy o per estrarre criptovalute, mettendo a rischio le informazioni sensibili degli utenti.

Il rapporto aggiunge ulteriormente che un caso di distribuzione di malware recentemente rilevato, mascherato da versione craccata di MS Office, è stato sviluppato utilizzando .NET ed è stato recentemente trovato offuscato.

Prima dell’offuscamento, seguiva il formato sottostante e otteneva l’URL di download accedendo a Telegram dopo la sua esecuzione iniziale.

Il malware recentemente distribuito consisteva in due URL di Telegram e un URL di Mastodon, ciascuno dei quali includeva una stringa utilizzata nell’URL di Google Drive o GitHub per ciascun profilo.

Inoltre, i dati scaricati da GitHub e Google Drive erano stringhe criptate in Base64, che, una volta decrittate, erano in realtà comandi PowerShell responsabili dell’installazione di vari ceppi di malware.

I ricercatori ASEC affermano che il malware che è stato trovato installato nel sistema compromesso è:

• Orcus RAT: Supporta funzionalità di controllo remoto di base, come la raccolta di informazioni di sistema, l’esecuzione di comandi e compiti per file, registri e processi. Fornisce anche funzioni di esfiltrazione delle informazioni utilizzando keylogging e webcam.

• XMRig: Interrompe l’estrazione quando i programmi eseguiti dal sistema occupano una considerevole quantità di risorse di sistema, come giochi, utilità di monitoraggio hardware e programmi per l’elaborazione grafica, per evitare il rilevamento.

• 3Proxy: Uno strumento open-source dotato di una funzionalità di server proxy che aggiunge la porta 3306 alla regola del firewall e inietta 3Proxy nel processo legittimo, consentendo all’attore della minaccia di abusare del sistema infetto come proxy.

• PureCrypter: Scarica ed esegue payload aggiuntivi da fonti esterne.

• AntiAV: Interrompe e impedisce a un programma di sicurezza di funzionare correttamente modificando costantemente il suo file di configurazione all’interno della cartella di installazione ogni volta che il programma viene eseguito, lasciando così il sistema vulnerabile all’operazione degli altri componenti.

• Updater: Responsabile del download e del mantenimento della persistenza del malware. Si registra anche nel Task Scheduler per consentire il suo funzionamento persistente anche dopo un riavvio del sistema.

Gli utenti sono invitati a esercitare cautela quando scaricano software piratato o craccato da fonti sospette per evitare il rischio di infettare i propri dispositivi.