Cibercriminosos estão distribuindo um coquetel de malwares por meio de versões pirateadas do Microsoft Office promovidas em sites de torrent.
Os malwares entregues aos usuários incluem trojans de acesso remoto (RATs), mineradores de criptomoedas, downloaders de malware, ferramentas proxy e programas anti-AV.
O AhnLab Security Intelligence Center (ASEC) identificou a campanha em andamento e alerta sobre os riscos de baixar softwares piratas.
Os pesquisadores coreanos descobriram que os atacantes usam múltiplos atrativos, incluindo o Microsoft Office, Windows e o Hangul Word Processor, que é popular na Coreia.
O instalador pirateado do Microsoft Office apresenta uma interface bem elaborada, permitindo aos usuários selecionar a versão que desejam instalar, o idioma e se desejam usar variantes de 32 ou 64 bits.
No entanto, em segundo plano, o instalador inicia um malware .NET ofuscado que contata um canal do Telegram ou Mastodon para receber uma URL de download válida de onde ele buscará componentes adicionais.
A URL aponta para o Google Drive ou GitHub, ambos serviços legítimos que provavelmente não dispararão alertas de AV.
Os payloads base64 hospedados nessas plataformas contêm comandos do PowerShell que introduzem uma série de cepas de malware no sistema, descompactados usando o 7Zip.
O componente de malware 'Updater' registra tarefas no Agendador de Tarefas do Windows para garantir que persista entre as reinicializações do sistema.
De acordo com o ASEC, os seguintes tipos de malware são instalados pelo malware no sistema violado:
Orcus RAT: Permite controle remoto abrangente, incluindo keylogging, acesso à webcam, captura de tela e manipulação do sistema para exfiltração de dados.
XMRig: Minerador de criptomoedas que usa os recursos do sistema para minerar Monero.
Ele interrompe a mineração durante uso intensivo de recursos, como quando a vítima está jogando, para evitar detecção.
3Proxy: Converte sistemas infectados em servidores proxy ao abrir a porta 3306 e injetá-los em processos legítimos, permitindo aos atacantes rotear tráfego malicioso.
PureCrypter: Baixa e executa payloads adicionais de fontes externas, garantindo que o sistema permaneça infectado com as ameaças mais recentes.
AntiAV: Interrompe e desabilita o software de segurança modificando seus arquivos de configuração, impedindo o software de operar corretamente e deixando o sistema vulnerável à operação dos outros componentes.
Mesmo que o usuário descubra e remova qualquer um dos malwares acima, o módulo 'Updater', que executa no lançamento do sistema, reintroduzirá o mesmo.
Os usuários devem ter cautela ao instalar arquivos baixados de fontes duvidosas e, de modo geral, evitar softwares pirateados/crackeados.
Campanhas semelhantes foram usadas para disseminar o ransomware STOP, que é a operação de ransomware mais ativa mirando consumidores.
Como esses arquivos não são assinados digitalmente e os usuários estão preparados para ignorar os alertas de antivírus ao executá-los, eles são frequentemente usados para infectar sistemas com malware, neste caso, um conjunto inteiro.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...