Специалисты по информационной безопасности центра AhnLab сообщили об обнаружении новой киберпреступной операции, в рамках которой хакеры занимаются распространением «коктейлей» из вредоносных программ с помощью взломанных версий Microsoft Office. Соответствующие файлы активно размещаются киберпреступниками на различных торрент-сайтах.
Эксперты из AhnLab рассказали, что в рамках этой киберспортивной операции хакеры распространяют различные виды вредоносного ПО, в том числе трояны удалённого доступа (RAT), майнеры криптовалют, загрузчики вредоносных программ, прокси-инструменты и антивирусные программы.
Специалисты также заявляют, что взломанный установщик Microsoft Office имеет хорошо продуманный интерфейс, позволяющий пользователям выбирать версию, которую они хотят установить, язык и использовать 32- или 64-битные варианты.
Однако в фоновом режиме установщик запускает «запутанное» вредоносное ПО .NET, которое связывается с каналом Telegram или Mastodon, чтобы получить действительный URL-адрес загрузки, откуда он получит дополнительные компоненты. URL-адрес указывает на Google Drive или GitHub — оба законных сервиса, которые вряд ли вызовут предупреждения AV.
Полезные нагрузки base64, размещённые на этих платформах, содержат команды PowerShell, которые вводят в систему ряд штаммов вредоносного ПО, распакованных с помощью 7Zip. Компонент вредоносного ПО «Обновление» регистрирует задачи в планировщике задач Windows, чтобы гарантировать их сохранение между перезагрузками системы.
Даже если пользователь обнаружит и удалит любую из вредоносных программ, модуль «Обновление», который запускается при запуске системы, повторно введёт его.
Специалисты AhnLab подчёркивают, что пользователи должны быть осторожны при установке файлов, загруженных из сомнительных источников, и вообще избегать пиратского/взломанного программного обеспечения. Подобные кампании использовались для продвижения программы-вымогателя STOP, которая является наиболее активной операцией по вымогательству, нацеленной на потребителей.
Оригинал публикации на сайте CISOCLUB: "Хакеры распространяют вредоносное ПО через пиратские Microsoft Office".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
