Пиратский Microsoft Office: что скрывается за привлекательным интерфейсом

Простой способ обойти блокировки – купи VPN через Телеграмм-бот:

Как MS Office доставляет коктейль из вирусов на компьютер.

Киберпреступники распространяют набор вредоносного ПО через взломанные версии Microsoft Office, которые продвигаются на торрент-сайтах. Вредоносные программы включают трояны, майнеры криптовалют, загрузчики вредоносных программ, прокси-инструменты и программы, нарушающие работу антивирусов.

Команда ASEC выявила кампанию и предупредила о рисках загрузки пиратского ПО. Исследователи обнаружили, что злоумышленники используют несколько приманок, включая Microsoft Office, Windows и популярный в Корее текстовый редактор Hangul Word Processor.

Взломанный установщик Microsoft Office имеет продуманный интерфейс, позволяющий пользователям выбирать версию, язык и разрядность (32 или 64 бит).

Интерфейс установщика

В России и ищешь VPN? Покупай через Телеграмм-бот:

Однако в фоновом режиме установщик запускает обфусцированное вредоносное ПО на основе .NET, которое связывается с каналом Telegram или Mastodon, чтобы получить действительный URL для загрузки дополнительных компонентов. URL указывают на Google Drive или GitHub — легитимные сервисы, которые редко вызывают предупреждения антивирусов.

Полезные нагрузки base64, размещенные на Google Drive и GitHub, содержат команды PowerShell, которые вводят в систему различные штаммы вредоносного ПО, распакованные с помощью 7Zip. Один из компонентов, названный «Updater», регистрирует задачи в планировщике задач Windows, чтобы гарантировать их сохранение между перезагрузками системы.

В конечном итоге в систему доставляются следующие программы:

  1. Orcus RAT: обеспечивает комплексное удаленное управление, включая регистрацию нажатий клавиш (кейлоггер), доступ к веб-камере, захват экрана и манипулирование системой для кражи данных;
  2. XMRig: майнер криптовалюты, использующий системные ресурсы для добычи Monero. Останавливает майнинг во время интенсивного использования ресурсов, например, когда жертва играет, чтобы избежать обнаружения;
  3. 3Proxy: преобразует зараженные системы в прокси-серверы, позволяя злоумышленникам маршрутизировать вредоносный трафик;
  4. PureCrypter: загружает и выполняет дополнительные вредоносные файлы из внешних источников, гарантируя, что система останется зараженной новейшими угрозами;
  5. AntiAV: нарушает работу и отключает ПО безопасности, делая систему уязвимой для других компонентов.
  4chan раскрывает секреты NYT: исходный код компании слили в открытый доступ

Цепочка заражения

Пользователи должны быть осторожны при установке файлов, загруженных из сомнительных источников, и избегать использования пиратского программного обеспечения. Подобные кампании также часто используются для распространения программ-вымогателей, таких как STOP, которая является одной из самых активных операций по вымогательству, нацеленной на потребителей.

Ваши данные уже украдены. Вопрос лишь в том, когда их используют против вас.

Узнайте, как защититься!

Надежный VPN сервис — это виртуальная частная сеть, которая обеспечивает высокую степень защиты и конфиденциальности при использовании интернета. Термин "надежный" относится к нескольким ключевым аспектам, которые делают VPN сервис безопасным и эффективным для пользователей.

Надежный VPN защищает ваши личные данные от слежки со стороны хакеров, интернет-провайдеров и государственных органов.

Использование надежного VPN помогает скрыть ваш IP-адрес и обеспечивает анонимность при серфинге в интернете.

Надежный VPN сервис — это важный инструмент для обеспечения безопасности, конфиденциальности и анонимности в интернете. Выбор надежного VPN поможет вам защитить свои данные, обойти блокировки и улучшить свой опыт онлайн-серфинга.

Добавить комментарий