盗版 Microsoft Office 中恶意软件横行

2024年 5月 31日 80.4k 0

AhnLab 安全情报中心(ASEC)报告发现网络犯罪分子正在通过种子网站上推广的破解版 Microsoft Office 来传播恶意软件。向用户传播的恶意软件包括远程访问木马 (RAT)、加密货币矿工、恶意软件下载器、代理工具和反 AV 程序。

盗版 Microsoft Office 中恶意软件横行-1

研究人员发现,攻击者使用了多种诱饵,包括 Microsoft Office、Windows 等。破解版的 Microsoft Office 安装程序具有精心设计的界面,让用户可以选择要安装的版本、语言以及是否使用 32 位或 64 位版本。

盗版 Microsoft Office 中恶意软件横行-2

然而,安装程序会在后台启动一个混淆的 .NET 恶意软件,该恶意软件会联系 Telegram 或 Mastodon 频道以接收有效的下载 URL,并从中获取其他组件。该 URL 指向 Google Drive 或 GitHub,这两种合法服务都不太可能触发防病毒警告。但这些平台上托管的 base64 有效载荷包含 PowerShell 命令,使用 7Zip 解压缩后可将一系列恶意软件引入系统。

盗版 Microsoft Office 中恶意软件横行-3

恶意软件组件“Updater”会在 Windows Task Scheduler 中注册任务,以确保在系统重启期间持续运行。据 ASEC 称,恶意软件会在被入侵系统上安装以下类型的恶意软件:

  • Orcus RAT:实现全面的远程控制,包括键盘记录、网络摄像头访问、屏幕捕获和系统操作以进行数据泄露。
  • XMRig:利用系统资源挖掘 Monero 的加密货币挖矿程序。它会在资源使用率较高时(例如受害者正在玩游戏时)停止挖掘,以避免被发现。
  • 3Proxy:通过打开 3306 端口将受感染系统转换为代理服务器,并将其注入合法进程,允许攻击者路由恶意流量。
  • PureCrypter:下载并执行来自外部的额外恶意有效载荷,确保系统持续感染最新威胁。
  • AntiAV:通过修改配置文件破坏和禁用安全软件,阻止软件正常运行,使系统易受其他组件的影响。

即使用户发现并删除了上述任何恶意软件,系统启动时执行的“Updater”模块也会重新引入它。

相关文章

塑造我成为 CTO 之路的“秘诀”
“人工智能教母”的公司估值达 10 亿美金
教授吐槽:985 高校成高级蓝翔!研究生基本废了,只为房子、票子……
Windows 蓝屏中断提醒开发者:Rust 比 C/C++ 更好
Claude 3.5 Sonnet 在伽利略幻觉指数中名列前茅
上海新增 11 款已完成登记生成式 AI 服务

发布评论