ASEC (AhnLab SEcurity intelligence Center) ha recentemente scoperto una nuova minaccia che sfrutta le versioni craccate di Microsoft Office per distribuire malware. Questa scoperta evidenzia la continua evoluzione delle strategie utilizzate dai cybercriminali per infiltrarsi nei sistemi informatici.
Modus operandi
L’infezione tramite l’installazione di un falso pacchetto Office di Microsoft avviene generalmente seguendo questi passaggi:
1. Gli utenti vengono attirati con la promessa di una versione gratuita o craccata di Microsoft Office, spesso tramite siti web non ufficiali o annunci ingannevoli.
2. L’utente scarica il falso pacchetto Office, che in realtà è un file eseguibile mascherato da installatore legittimo.
3. Quando l’utente esegue il file, anziché installare il pacchetto Office, viene eseguito il codice malevolo.
4. Il malware può essere un miner di criptovalute, un trojan per l’accesso remoto o un dropper per scaricare e installare ulteriori payload dannosi, diffondendosi a più sistemi o rubando dati sensibili.
La catena d’infezione specifica
Nel caso di specie, il malware sviluppato utilizzando .NET, camuffato da versione craccata di MS Office, è stato propagato tramite servizi di condivisione file e torrent. Dopo aver contattato un canale Telegram o Mastodon per ricevere un URL di download (di servizi legittimi Google Drive o GitHub) procede al recupero di componenti aggiuntivi. I dati scaricati crittografati in Base64, risultano essere comandi PowerShell che solo dopo una registrazione dell’attività nell’Utilità di pianificazione di Windows vengono eseguiti per installare vari tipi di malware decompressi tramite programma 7Zip.
Secondo i ricercatori ASEC, venivano installati:
Orcus RAT: consente un controllo remoto completo, incluso keylogging, accesso alla webcam, cattura dello schermo e manipolazione del sistema per l’esfiltrazione dei dati tramite HVNC e RDP.
XMRig: un miner di criptovaluta che utilizza le risorse di sistema per estrarre Monero in grado di interrompe l’estrazione durante un utilizzo elevato delle risorsemper evitare il rilevamento.
3Proxy: converte i sistemi infetti in server proxy inserendosi in processi legittimi, consentendo agli attaccanti di instradare il traffico dannoso.
PureCrypter: scarica ed esegue ulteriori payload dannosi da fonti esterne.
AntiAV: interrompe e disabilita il software di sicurezza modificandone i file di configurazione, lasciando il sistema vulnerabile al funzionamento degli altri componenti.
Come proteggersi
Per proteggersi da queste minacce, è fondamentale scaricare software solo da fonti ufficiali e affidabili, mantenere aggiornati i sistemi e utilizzare soluzioni antivirus robuste. Inoltre, è importante essere cauti con le offerte open source.
Per il momento il falso pacchetto d’installazione Office registra un tasso di rilevamento pari a meno del 50% su VirusTotal.