Malveri u piratskim verzijama Microsoft Officea

Vesti, 31.05.2024, 10:30 AM

Malveri u piratskim verzijama Microsoft Officea

Na torrent sajtovima primećene su krekovane verzije Microsoft Officea preko kojih sajber kriminalci distribuiraju različite malvere. Malveri koji se instaliraju na uređaje žrtava na ovaj način su trojanci za daljinski pristup (RAT), rudari kriptovaluta, programi za preuzimanje malvera (downloader), proxy alati i anti-AV programi.

Ove piratske verzije Microsoft Officea primetili su istraživači iz korejskog AhnLab Security Intelligence Center (ASEC), koji su upozorili korisnike interneta na rizike preuzimanja piratskog softvera.

Istraživači kažu da napadači koriste više mamaca, uključujući Microsoft Office, Windows i Hangul Word Procesor, koji je popularan u Koreji.

Krekovani Microsoft Office ima dobro urađen interfejs, koji omogućava korisnicima da odaberu verziju koju žele da instaliraju, jezik i da li koriste 32-bitnu ili 64-bitnu verziju. Međutim, u pozadini se pokreće .NET malver koji kontaktira Telegram ili Mastodon kanal da bi dobio URL odakle će preuzeti dodatne komponente. URL vodi do Google Drivea ili GitHuba, a s obzirom da je reč o legitimnim sajtovima malo je verovatno da će se pokrenuti upozorenja antivirusnih programa. Kod koji se nalazi na tim platformama sadrži PowerShell komande koje instaliraju čitav niz malvera na sisteme.

Komponenta malvera „Updater“ registruje zadatke u Windows Task Scheduleru kako bi se osiguralo da će malver opstati ako dođe do ponovnog pokretanja sistema.

Na ovaj način korisnici mogu inficirati svoje sisteme sledećim malverima:

≈ Orcus RAT koji omogućava sveobuhvatnu daljinsku kontrolu zaraženog uređaja, keylogging, pristup veb kameri, snimanje ekrana i eksfiltraciju podataka;

≈ XMRig - rudar kriptovaluta koji koristi sistemske resurse za rudarenje Monera. Prekida rudarenje tokom velike upotrebe resursa, na primer u situacijama kada žrtva igra igrice, da bi se izbeglo otkrivanje;

≈ 3Proxy koji konvertuje zaražene sisteme u proksi servere tako što otvara port 3306 i ubacuje ih u legitimne procese, omogućavajući napadačima da usmere zlonamerni saobraćaj;

≈ PureCrypter koji preuzima dodatne malvere iz spoljnih izvora, osiguravajući da sistem ostane zaražen najnovijim pretnjama;

≈ AntiAV koji ometa i onemogućava bezbednosni softver modifikujući njegove konfiguracione fajlove, sprečavajući ga da radi ispravno i ostavljajući sistem ranjivim.

Čak i ako korisnik otkrije i ukloni bilo koji od gore navedenih malvera, modul „Updater“, koji se pokreće nakon pokretanja sistema, ponovo će ga pokrenuti.

Korisnici bi trebalo da budu oprezni kada instaliraju fajlove preuzete iz sumnjivih izvora, ali pre svega, treba izbegavati piratski/krekovani softver.

Slične kampanje su korišćene za širenje ransomwarea STOP.

Pošto ovi fajlovi nisu digitalno potpisani i korisnici su spremni da ignorišu antivirusna upozorenja kada instaliraju piratski softver, često se koriste za širenje malvera, a u ovom slučaju, čitavog niza malvera.

Foto: AhnLab Security Intelligence Center (ASEC)


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Bluetooth ranjivosti: Hakeri vas mogu prisluškivati preko vaših slušalica

Bluetooth ranjivosti: Hakeri vas mogu prisluškivati preko vaših slušalica

Istraživači iz nemačke kompanije ERNW su na konferenciji o bezbednosti TROOPERS u Nemačkoj otkrili tri ozbiljne ranjivosti u čipovima popularnih ... Dalje

Kad korisnici sami instaliraju malver: dramatičan porast ClickFix napada

Kad korisnici sami instaliraju malver: dramatičan porast ClickFix napada

U poslednjih šest meseci zabeležen je dramatičan porast nove vrste sajber napada koji se ne oslanja na ranjivosti u softveru, već na ljudske slabo... Dalje

Microsoft najavio produžetak podrške za Windows 10 za godinu dana

Microsoft najavio produžetak podrške za Windows 10 za godinu dana

Microsoft je konačno potvrdio ono što su mnogi priželjkivali - Windows 10 će i dalje dobijati bezbednosna ažuriranja (Extended Security Updates, ... Dalje

Napadi na WordPress sajtove: novi malver krade kartice i lozinke

Napadi na WordPress sajtove: novi malver krade kartice i lozinke

Istraživači iz Wordfence-a otkrili su sofisticiranu kampanju usmerenu na WordPress sajtove. Na prvi pogled, lažni dodatak (plugin) nazvan „Wo... Dalje

Mocha Manakin: Novi napad koji počinje jednostavnim copy-paste trikom

Mocha Manakin: Novi napad koji počinje jednostavnim copy-paste trikom

U digitalnom svetu gde svaka sumnjiva poruka može otvoriti vrata za kompromitovanje sistema, pojavila se nova sajber pretnja, nazvana Mocha Manakin. ... Dalje