Campagna malware usa Office piratato per rilasciare malware

Alcuni cybercriminali distribuiscono un cocktail di malware attraverso versioni crackate di Microsoft Office promosse su siti torrent. Il malware consegnato agli utenti include trojan di accesso remoto (RAT), miner di criptovaluta, downloader di malware, strumenti proxy e programmi anti-AV. L'AhnLab Security Intelligence Center (ASEC) ha identificato la campagna in corso, mettendo in guardia gli utenti sui rischi derivanti dal download di software piratato. I ricercatori coreani hanno scoperto che gli aggressori utilizzano molteplici esche, tra cui Microsoft Office, Windows e l'elaboratore di testi Hangul, popolare in Corea.

Office piratato: come funziona l’infezione dei malware

L’installer di Microsoft Office crackato presenta un'interfaccia ben realizzata. Inoltre, gli utenti possono anche selezionare la versione che desiderano installare, la lingua e la variante (a 32 o 64 bit). Tuttavia, in background, il programma di installazione lancia un malware .NET offuscato. Questo contatta un canale Telegram o Mastodon per ricevere un URL di download valido da cui recupererà componenti aggiuntivi. L'URL punta a Google Drive o GitHub, entrambi servizi legittimi che difficilmente attivano avvisi AV. I payload base64 ospitati su tali piattaforme contengono comandi PowerShell che introducono una serie di ceppi di malware nel sistema, decompressi utilizzando 7Zip. Il componente malware "Updater" registra le attività nell'utility di pianificazione di Windows per garantire che persista tra i riavvii del sistema.

Secondo ASEC, sul sistema violato vengono installati malware come Orcus RAT. Questo consente un controllo remoto completo del sistema, incluso keylogging, accesso alla webcam, acquisizione di schermate e manipolazione del sistema per l'esfiltrazione dei dati. Un altro malware introdotto con Microsoft Office crackato è XMRig. si tratta di un miner di criptovaluta che utilizza risorse di sistema per estrarre Monero. Un’altra minaccia è 3Proxy. Quest’ultima converte i sistemi infetti in server proxy aprendo la porta 3306 e inserendoli in processi legittimi, consentendo agli aggressori di instradare il traffico dannoso. Infine, il software piratato introduce PureCrypter, che scarica ed esegue payload dannosi da fonti esterne, garantendo che il sistema rimanga vulnerabile alle minacce più recenti, e AntiAV. Quest’ultimo interrompe e disabilita il software di sicurezza modificandone i file di configurazione e impedisce al software di funzionare correttamente. Per evitare tali problemi, è consigliato evitare di scaricare software piratati dal web.