Malveri u piratskim verzijama Microsoft Officea

Vesti, 31.05.2024, 10:30 AM

Malveri u piratskim verzijama Microsoft Officea

Na torrent sajtovima primećene su krekovane verzije Microsoft Officea preko kojih sajber kriminalci distribuiraju različite malvere. Malveri koji se instaliraju na uređaje žrtava na ovaj način su trojanci za daljinski pristup (RAT), rudari kriptovaluta, programi za preuzimanje malvera (downloader), proxy alati i anti-AV programi.

Ove piratske verzije Microsoft Officea primetili su istraživači iz korejskog AhnLab Security Intelligence Center (ASEC), koji su upozorili korisnike interneta na rizike preuzimanja piratskog softvera.

Istraživači kažu da napadači koriste više mamaca, uključujući Microsoft Office, Windows i Hangul Word Procesor, koji je popularan u Koreji.

Krekovani Microsoft Office ima dobro urađen interfejs, koji omogućava korisnicima da odaberu verziju koju žele da instaliraju, jezik i da li koriste 32-bitnu ili 64-bitnu verziju. Međutim, u pozadini se pokreće .NET malver koji kontaktira Telegram ili Mastodon kanal da bi dobio URL odakle će preuzeti dodatne komponente. URL vodi do Google Drivea ili GitHuba, a s obzirom da je reč o legitimnim sajtovima malo je verovatno da će se pokrenuti upozorenja antivirusnih programa. Kod koji se nalazi na tim platformama sadrži PowerShell komande koje instaliraju čitav niz malvera na sisteme.

Komponenta malvera „Updater“ registruje zadatke u Windows Task Scheduleru kako bi se osiguralo da će malver opstati ako dođe do ponovnog pokretanja sistema.

Na ovaj način korisnici mogu inficirati svoje sisteme sledećim malverima:

≈ Orcus RAT koji omogućava sveobuhvatnu daljinsku kontrolu zaraženog uređaja, keylogging, pristup veb kameri, snimanje ekrana i eksfiltraciju podataka;

≈ XMRig - rudar kriptovaluta koji koristi sistemske resurse za rudarenje Monera. Prekida rudarenje tokom velike upotrebe resursa, na primer u situacijama kada žrtva igra igrice, da bi se izbeglo otkrivanje;

≈ 3Proxy koji konvertuje zaražene sisteme u proksi servere tako što otvara port 3306 i ubacuje ih u legitimne procese, omogućavajući napadačima da usmere zlonamerni saobraćaj;

≈ PureCrypter koji preuzima dodatne malvere iz spoljnih izvora, osiguravajući da sistem ostane zaražen najnovijim pretnjama;

≈ AntiAV koji ometa i onemogućava bezbednosni softver modifikujući njegove konfiguracione fajlove, sprečavajući ga da radi ispravno i ostavljajući sistem ranjivim.

Čak i ako korisnik otkrije i ukloni bilo koji od gore navedenih malvera, modul „Updater“, koji se pokreće nakon pokretanja sistema, ponovo će ga pokrenuti.

Korisnici bi trebalo da budu oprezni kada instaliraju fajlove preuzete iz sumnjivih izvora, ali pre svega, treba izbegavati piratski/krekovani softver.

Slične kampanje su korišćene za širenje ransomwarea STOP.

Pošto ovi fajlovi nisu digitalno potpisani i korisnici su spremni da ignorišu antivirusna upozorenja kada instaliraju piratski softver, često se koriste za širenje malvera, a u ovom slučaju, čitavog niza malvera.

Foto: AhnLab Security Intelligence Center (ASEC)


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

WeTransfer ponovo menja uslove korišćenja nakon lavine kritika zbog korišćenja sadržaja za obuku AI

WeTransfer ponovo menja uslove korišćenja nakon lavine kritika zbog korišćenja sadržaja za obuku AI

Korisnike WeTransfera, popularne platforme za slanje velikih fajlova, uznemirila je najava kompanije o promeni uslova korišćenja. Novi uslovi koriš... Dalje

Kako hakeri mogu prevariti Gemini i vas

Kako hakeri mogu prevariti Gemini i vas

Istraživači iz firme 0din uspeli su da prevare Google Gemini for Workspace da sam „poslušno“ izvršava skrivene komande ubačene u imej... Dalje

Grok‑4 hakovan samo dva dana posle javnog predstavljanja

Grok‑4 hakovan samo dva dana posle javnog predstavljanja

Samo 48 sati nakon što je predstavljen javnosti, najnoviji veliki jezički model Grok-4 je „jailbreak-ovan“. Istraživači iz NeuralTrust... Dalje

TikTok ponovo pod istragom zbog prenosa podataka korisnika na servere u Kini

TikTok ponovo pod istragom zbog prenosa podataka korisnika na servere u Kini

Irska Komisija za zaštitu podataka (DPC) pokrenula je novu istragu protiv TikTok-a zbog sumnje da se podaci evropskih korisnika i dalje prebacuju na ... Dalje

Koliko nas zapravo Google prati čak i kad mislimo da ne može?

Koliko nas zapravo Google prati čak i kad mislimo da ne može?

Koliko nas zapravo Google prati čak i kad mislimo da ne može? Nova studija SafetyDetectives otkriva koliko je Google zapravo svuda oko nas na intern... Dalje