Взломанные версии Microsoft Office используются для распространения вредоносных коктейлей

Исследователи Центра безопасности AhnLab (ASEC) выявили текущую кампанию, которая распространяет вредоносные коктейли через взломанные версии MS Office и Windows, загруженные с торрент-сайтов.

Злоумышленники распространяли различные виды вредоносного ПО среди корейских пользователей, такие как загрузчики, CoinMiner, трояны удаленного доступа (RAT), Proxy и AntiAV.

Под видом взломанных версий легитимных программ, таких как Windows, MS Office и Hangul Word Processor, популярного в Корее.

Слова исследователей

Корейские исследователи в своем отчете сообщают, что злоумышленники обновляют свое вредоносное ПО, регистрируя его в Планировщике задач на зараженной системе, который выполняет команды PowerShell для установки вредоносного ПО.

Если Планировщик задач не устранен, новые виды вредоносного ПО повторно устанавливаются на систему.

Однако пользователи, установившие V3, не сталкиваются с проблемами повторной установки вредоносного ПО, так как V3 устраняет задачи, установленные вредоносным ПО.

Поскольку установленные виды вредоносного ПО включают тип, который запускает обновления, инфекция продолжает сохраняться даже после блокировки предыдущего URL, так как команды PowerShell, зарегистрированные в Планировщике задач, постоянно меняются.

В результате злоумышленник получает контроль над зараженными корейскими системами и использует их в качестве прокси или для майнинга криптовалюты, тем самым подвергая риску кражи конфиденциальную информацию пользователей.

В отчете также добавляется, что недавно обнаруженный случай распространения вредоносного ПО, замаскированного под взломанную версию MS Office, был разработан с использованием .NET и недавно был найден в зашифрованном виде.

Перед шифрованием он следовал формату ниже и получал URL для загрузки, получая доступ к Telegram после его первоначального выполнения.

Недавно распространенное вредоносное ПО состояло из двух URL Telegram и одного URL Mastodon, каждый из которых включал строку, используемую в URL Google Drive или GitHub для каждого профиля.

Кроме того, данные, загруженные с GitHub и Google Drive, были строками, зашифрованными в Base64, которые, после расшифровки, на самом деле были командами PowerShell, ответственными за установку различных видов вредоносного ПО.

Исследователи ASEC сообщают, что вредоносное ПО, которое было найдено на взломанной системе, включает:

• Orcus RAT: Поддерживает основные функции удаленного управления, такие как сбор информации о системе, выполнение команд и задачи для файлов, реестров и процессов. Также предоставляет функции эксфильтрации информации с использованием кейлоггинга и веб-камер.

• XMRig: Останавливает майнинг, когда выполняемые программы занимают значительное количество системных ресурсов, такие как игры, утилиты мониторинга оборудования и программы для обработки графики, чтобы избежать обнаружения.

• 3Proxy: Инструмент с открытым исходным кодом, оснащенный функцией прокси-сервера, который добавляет порт 3306 в правило брандмауэра и внедряет 3Proxy в легитимный процесс, позволяя злоумышленнику злоупотреблять зараженной системой в качестве прокси.

• PureCrypter: Загружает и выполняет дополнительный полезный груз из внешних источников.

• AntiAV: Нарушает и предотвращает правильную работу программы безопасности, постоянно изменяя ее файл конфигурации внутри папки установки каждый раз, когда программа запускается, тем самым оставляя систему уязвимой для работы других компонентов.

• Updater: Ответственен за загрузку и поддержание постоянства вредоносного ПО. Он также регистрируется в Планировщике задач, чтобы обеспечить свою работу даже после перезагрузки системы.

Пользователям рекомендуется проявлять осторожность при загрузке пиратского или взломанного программного обеспечения из подозрительных источников, чтобы избежать риска заражения своих устройств.