freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

盗版Office软件“打包”多款恶意程序入侵用户系统
2024-06-03 10:54:32
所属地 上海

据BleepingComputer消息,AhnLab 安全情报中心(ASEC)发现网络攻击者正利用资源网站上的盗版微软 Office办公软件传播多种恶意软件。

这些恶意软件包括远程访问木马(RAT)、加密货币挖掘机、恶意软件下载器、代理工具和反病毒程序。

破解版 Office 安装程序具有精心设计的界面,用户可以选择要安装的版本、语言。用户一旦开始安装,安装程序就会在后台启动一个混淆的 .NET 恶意软件,该恶意软件会联系 Telegram 或 Mastodon 频道,以接收一个有效的下载 URL,并从该 URL 获取其他组件。

恶意Office安装程序界面(来源:ASEC)

由于URL 指向 Google Drive 或 GitHub,这两种合法服务都不太可能触发防病毒警告。这些平台上托管的 base64 有效载荷包含 PowerShell 命令,使用 7Zip 解压缩后可将一系列恶意软件引入系统。

获取和解压缩恶意软件的组件(来源:ASEC)

恶意软件组件 "Updater "会在 Windows 任务计划程序中注册任务,以确保在系统重启期间持续运行。据 ASEC 称,恶意软件会在被入侵系统上安装以下类型的恶意软件:

  • Orcus RAT:实现全面远程控制,包括键盘记录、网络摄像头访问、屏幕捕获和系统操作,以实现数据外渗。
  • XMRig:使用系统资源挖掘 Monero 的加密货币矿机,会在受害者玩游戏等资源使用率高的时候停止挖矿,以避免被发现。
  • 3Proxy:通过打开 3306 端口将受感染系统转换为代理服务器,并将其注入合法进程,允许攻击者路由恶意流量。
  • PureCrypter:下载并执行来自外部的额外恶意有效载荷,确保系统持续感染最新威胁。
  • AntiAV:通过修改配置文件破坏和禁用安全软件,阻止软件正常运行。

即使用户发现并删除了上述恶意软件,在系统启动时执行的 "更新器 "模块也会重新引入恶意软件。

类似的活动也被用来推送 STOP 勒索软件——一款针对消费者的活跃勒索软件。

攻击链(来源:ASEC)

由于这些文件没有数字签名,且用户在运行这些文件时通常会忽略杀毒软件的警告,因此它们经常被网络攻击者用来入侵系统。建议用户在安装从可疑来源下载的文件时应谨慎,一般应避免安装盗版/破解软件。

参考来源:

Pirated Microsoft Office delivers malware cocktail on systems

# 恶意软件
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者