Versões Crackeadas do Microsoft Office Usadas para Espalhar Coquetéis de Malware

Pesquisadores do AhnLab Security Intelligence Center (ASEC) identificaram uma campanha em andamento que distribui coquetéis de malware através de versões crackeadas do MS Office e Windows baixadas de sites de torrent.

Os atacantes distribuíram várias cepas de malware para usuários coreanos, como downloaders, CoinMiner, trojans de acesso remoto (RATs), Proxy e AntiAV.

Sob o disfarce de versões crackeadas de programas legítimos como Windows, MS Office e Hangul Word Processor, uma ferramenta popular na Coreia.

Os Pesquisadores Disseram Isso

Os pesquisadores coreanos, em seu relatório, afirmam que os atores de ameaça têm atualizado seu malware registrando-se no Agendador de Tarefas no sistema infectado, que executa comandos PowerShell para instalar o malware.

Se o Agendador de Tarefas não for remediado, novas cepas de malware são repetidamente instaladas no sistema.

No entanto, usuários que instalaram o V3 não enfrentam problemas com instalações repetidas de malware, pois o V3 remedia as tarefas instaladas pelo malware.

Como as cepas de malware instaladas incluem um tipo que executa atualizações, a infecção continua a persistir mesmo após o bloqueio da URL anterior, já que os comandos PowerShell registrados no Agendador de Tarefas mudam constantemente.

Como resultado, o atacante ganha controle dos sistemas coreanos infectados e os utiliza como proxies ou para minerar criptomoedas, colocando assim as informações sensíveis dos usuários em risco de roubo.

O relatório acrescenta ainda que um caso de distribuição de malware recentemente detectado disfarçado como uma versão crackeada do MS Office foi desenvolvido usando .NET e recentemente descoberto como ofuscado.

Antes da ofuscação, seguia o formato abaixo e obteve a URL de download acessando o Telegram após sua execução inicial.

O malware recentemente distribuído consistia em duas URLs do Telegram e uma URL do Mastodon, cada uma das quais incluía uma string usada na URL do Google Drive ou GitHub para cada perfil.

Além disso, os dados baixados do GitHub e Google Drive eram strings criptografadas em Base64, que, após a descriptografia, eram na verdade comandos PowerShell responsáveis por instalar várias cepas de malware.

Os pesquisadores da ASEC afirmam que o malware que foi encontrado instalado no sistema comprometido é:

• Orcus RAT: Suporta recursos básicos de controle remoto, como coleta de informações do sistema, execução de comandos e tarefas para arquivos, registros e processos. Também fornece funções de exfiltração de informações usando keylogging e webcams.

• XMRig: Interrompe a mineração quando os programas executados no sistema ocupam uma quantidade considerável de recursos do sistema, como jogos, utilitários de monitoramento de hardware e programas para processamento gráfico, a fim de evitar detecção.

• 3Proxy: Uma ferramenta de código aberto equipada com um recurso de servidor proxy que adiciona a porta 3306 à regra do firewall e injeta 3Proxy no processo legítimo, permitindo que o ator de ameaça abuse do sistema infectado como um proxy.

• PureCrypter: Baixa e executa payload adicional de fontes externas.

• AntiAV: Interrompe e impede que um programa de segurança funcione corretamente, modificando constantemente seu arquivo de configuração dentro da pasta de instalação sempre que o programa é executado, deixando assim o sistema vulnerável à operação dos outros componentes.

• Updater: Responsável por baixar e manter a persistência do malware. Também se registra no Agendador de Tarefas para permitir que opere de forma persistente mesmo após uma reinicialização do sistema.

Os usuários são recomendados a ter cautela ao baixar software pirata ou crackeado de fontes suspeitas para evitar o risco de infectar seus dispositivos.