Malveri u piratskim verzijama Microsoft Officea
Vesti, 31.05.2024, 10:30 AM
Na torrent sajtovima primećene su krekovane verzije Microsoft Officea preko kojih sajber kriminalci distribuiraju različite malvere. Malveri koji se instaliraju na uređaje žrtava na ovaj način su trojanci za daljinski pristup (RAT), rudari kriptovaluta, programi za preuzimanje malvera (downloader), proxy alati i anti-AV programi.
Ove piratske verzije Microsoft Officea primetili su istraživači iz korejskog AhnLab Security Intelligence Center (ASEC), koji su upozorili korisnike interneta na rizike preuzimanja piratskog softvera.
Istraživači kažu da napadači koriste više mamaca, uključujući Microsoft Office, Windows i Hangul Word Procesor, koji je popularan u Koreji.
Krekovani Microsoft Office ima dobro urađen interfejs, koji omogućava korisnicima da odaberu verziju koju žele da instaliraju, jezik i da li koriste 32-bitnu ili 64-bitnu verziju. Međutim, u pozadini se pokreće .NET malver koji kontaktira Telegram ili Mastodon kanal da bi dobio URL odakle će preuzeti dodatne komponente. URL vodi do Google Drivea ili GitHuba, a s obzirom da je reč o legitimnim sajtovima malo je verovatno da će se pokrenuti upozorenja antivirusnih programa. Kod koji se nalazi na tim platformama sadrži PowerShell komande koje instaliraju čitav niz malvera na sisteme.
Komponenta malvera „Updater“ registruje zadatke u Windows Task Scheduleru kako bi se osiguralo da će malver opstati ako dođe do ponovnog pokretanja sistema.
Na ovaj način korisnici mogu inficirati svoje sisteme sledećim malverima:
≈ Orcus RAT koji omogućava sveobuhvatnu daljinsku kontrolu zaraženog uređaja, keylogging, pristup veb kameri, snimanje ekrana i eksfiltraciju podataka;
≈ XMRig - rudar kriptovaluta koji koristi sistemske resurse za rudarenje Monera. Prekida rudarenje tokom velike upotrebe resursa, na primer u situacijama kada žrtva igra igrice, da bi se izbeglo otkrivanje;
≈ 3Proxy koji konvertuje zaražene sisteme u proksi servere tako što otvara port 3306 i ubacuje ih u legitimne procese, omogućavajući napadačima da usmere zlonamerni saobraćaj;
≈ PureCrypter koji preuzima dodatne malvere iz spoljnih izvora, osiguravajući da sistem ostane zaražen najnovijim pretnjama;
≈ AntiAV koji ometa i onemogućava bezbednosni softver modifikujući njegove konfiguracione fajlove, sprečavajući ga da radi ispravno i ostavljajući sistem ranjivim.
Čak i ako korisnik otkrije i ukloni bilo koji od gore navedenih malvera, modul „Updater“, koji se pokreće nakon pokretanja sistema, ponovo će ga pokrenuti.
Korisnici bi trebalo da budu oprezni kada instaliraju fajlove preuzete iz sumnjivih izvora, ali pre svega, treba izbegavati piratski/krekovani softver.
Slične kampanje su korišćene za širenje ransomwarea STOP.
Pošto ovi fajlovi nisu digitalno potpisani i korisnici su spremni da ignorišu antivirusna upozorenja kada instaliraju piratski softver, često se koriste za širenje malvera, a u ovom slučaju, čitavog niza malvera.
Foto: AhnLab Security Intelligence Center (ASEC)
Izdvojeno
Microsoft uklonio 119 Edge ekstenzija koje su potajno preuzimale malver
Microsoft je uklonio 119 zlonamernih ekstenzija iz prodavnice dodataka za Edge nakon što je otkriveno da su bile deo velike kampanje nazvane StegoAd,... Dalje
ClickFix postao najčešći način isporuke malvera
Tehnika socijalnog inženjeringa ClickFix postala je najčešći način isporuke malvera, pokazuje analiza kompanije ReliaQuest koja je obuhvatila saj... Dalje
AI pregledači mogu da odaju vaše podatke ako ih napadač ubedi da igraju igru
Istraživači kompanije LayerX predstavili su tehniku pod nazivom BioShocking, kojom su uspeli da prevare AI pregledače i asistente da otkriju korisn... Dalje
WhatsApp uvodi korisnička imena
Kompanija Meta saopštila je da korisnici WhatsApp-a od ove nedelje mogu da rezervišu korisničko ime koje će moći da koriste kada nova funkcija po... Dalje
Lažni PDF instalira Chrome ekstenziju koja krade sesije korisnika
Istraživači upozoravaju na novu phishing kampanju u kojoj napadači koriste zlonamernu Chrome ekstenziju kako bi preuzeli kontrolu nad Windows raču... Dalje
Pratite nas
Nagrade






Pratite nas preko RSS-a





