A kiberbűnözők ismét trükkös módszerekkel terjesztik a malware-eket, ezúttal a Microsoft Office feltört verzióit használják erre a célra. Az AhnLab Security Intelligence Center (ASEC) által azonosított kampány keretében a torrentoldalakon elérhető kalóz Office telepítők rejtenek magukban rosszindulatú programokat.
A telepítő felülete látszólag ártatlannak tűnik, és a felhasználó kiválaszthatja a kívánt verziót, nyelvet és bitméretet. Azonban a háttérben egy „.NET” kártevő aktiválódik, ami Telegram vagy Mastodon csatornához kapcsolódik, és onnan letölt egy legitimnek tűnő URL-t (pl. Google Drive, GitHub).
Ezek a platformok base64 kódolással futtatnak PowerShell parancsokat, amelyek 7Zip-pel kicsomagolva malware-eket juttatnak a rendszerbe. A bejutó programok között szerepel az „Updater”, ami a Windows Task Schedulerbe beírva biztosítja a malware-ek automatikus futtatását a rendszer újraindítása után.
Az ASEC által azonosított malware-ek a következők:
- Orcus RAT: Távoli irányítást biztosít a támadónak, hozzáférést adva a billentyűzet leütéséhez, webkamerához, képernyőfelvételek készítéséhez és a rendszer manipulálásához.
- XMRig: Kriptovaluta bányász, ami Monero kriptovalutát bányászik a rendszer erőforrásaival. Rejtőzködés céljából leállítja a bányászatot nagy terhelés esetén (pl. játék közben).
- 3Proxy: Proxyszerverré alakítja a fertőzött rendszert a 3306-os port megnyitásával, beágyazva magát legitim folyamatokba, ezáltal lehetővé téve a támadók számára a rosszindulatú tevékenységek irányítását.
- PureCrypter: Külső forrásokból származó malware-eket tölt le és futtat, biztosítva a rendszer folyamatos fertőzését a legújabb fenyegetésekkel.
- AntiAV: A konfigurációs fájlok módosításával megzavarja és letiltja a vírusírtó programokat, sebezhetővé téve a rendszert.
Ha a fertőzés megtörtént, de a felhasználó eltávolítja a malware-eket, az „Updater” modul a rendszerindításkor újra futtatja őket.
Megelőzés:
- Kerüljük a kalóz vagy feltört szoftverek használatát! Ezek a fájlok nem rendelkeznek digitális aláírással, és futtatásukkor a vírusírtók figyelmeztetéseit is hajlamosak vagyunk figyelmen kívül hagyni.
- Csak megbízható forrásból töltsünk le programokat!
- Használjunk naprakész vírusírtó programot!
- Legyünk óvatosak az online letöltésekkel!
