マイクロソフトオフィスのクラック版がマルウェアカクテルを広めるために使用される

AhnLab Security Intelligence Center (ASEC) の研究者たちは、トレントウェブサイトからダウンロードされた MS Office と Windows のクラック版を通じてマルウェアカクテルを配布する進行中のキャンペーンを特定しました。

攻撃者は、ダウンローダー、CoinMiner、リモートアクセス型トロイの木馬 (RAT)、プロキシ、AntiAV など、さまざまなマルウェアの亜種を韓国のユーザーに配布しました。

Windows、MS Office、韓国で人気のあるハングルワードプロセッサなどの正規プログラムのクラック版を装って。

研究者のコメント

韓国の研究者たちは、報告書の中で、脅威アクターが感染したシステムのタスクスケジューラに登録することでマルウェアをアップグレードしており、これが PowerShell コマンドを実行してマルウェアをインストールすることを指摘しています。

タスクスケジューラが修正されない場合、新しいマルウェアの亜種がシステムに繰り返しインストールされます。

しかし、V3 をインストールしたユーザーは、マルウェアによってインストールされたタスクを修正するため、繰り返しマルウェアがインストールされる問題を経験しません。

インストールされたマルウェアの亜種には、更新を実行するタイプが含まれているため、以前の URL をブロックした後でも感染が持続します。これは、タスクスケジューラに登録された PowerShell コマンドが常に変化するためです。

その結果、攻撃者は感染した韓国のシステムを制御し、プロキシとして利用したり、暗号通貨をマイニングしたりすることで、ユーザーの機密情報が盗まれるリスクにさらされます。

報告書はさらに、最近検出されたマルウェア配布ケースが MS Office のクラック版を装っており、.NET を使用して開発され、最近難読化されていることを追加しています。

難読化される前は、以下の形式に従い、初回実行後に Telegram にアクセスしてダウンロード URL を取得しました。

最近配布されたマルウェアは、2つの Telegram URL と1つの Mastodon URL で構成されており、それぞれのプロファイルに対して Google Drive または GitHub の URL で使用される文字列が含まれていました。

さらに、GitHub と Google Drive からダウンロードされたデータは Base64 で暗号化された文字列であり、復号化すると、さまざまなマルウェアの亜種をインストールするための PowerShell コマンドが実際に含まれていました。

ASEC の研究者たちは、侵害されたシステムにインストールされていることが確認されたマルウェアは以下の通りだと述べています：

• Orcus RAT: システム情報の収集、コマンドの実行、ファイル、レジストリ、プロセスのタスクなど、基本的なリモート制御機能をサポートします。また、キーロギングやウェブカメラを使用した情報漏洩機能も提供します。

• XMRig: システムがゲーム、ハードウェア監視ユーティリティ、グラフィックス処理プログラムなどのプログラムを実行しているときにマイニングを停止し、検出を回避します。

• 3Proxy: プロキシサーバー機能を備えたオープンソースツールで、ファイアウォールルールに3306ポートを追加し、正当なプロセスに3Proxyを注入することで、脅威アクターが感染したシステムをプロキシとして悪用できるようにします。

• PureCrypter: 外部ソースから追加のペイロードをダウンロードして実行します。

• AntiAV: プログラムが実行されるたびにインストールフォルダ内の設定ファイルを常に変更することで、セキュリティプログラムの正常な動作を妨害し、他のコンポーネントの動作に対してシステムを脆弱にします。

• Updater: マルウェアのダウンロードと持続性の維持を担当します。また、システム再起動後も持続的に動作できるようにタスクスケジューラに登録します。

ユーザーは、デバイスの感染リスクを避けるために、疑わしいソースから海賊版またはクラックソフトウェアをダウンロードする際に注意を払うことを推奨されます。