Les cybercriminels distribuent un cocktail de logiciels malveillants via des versions fissurées de Microsoft Office promues sur des sites torrent.
Les logiciels malveillants livrés aux utilisateurs comprennent des chevaux de Troie d’accès à distance (RATs), des mineurs de crypto-monnaie, des téléchargeurs de logiciels malveillants, des outils proxy et des programmes anti-antivirus.
Le Centre de renseignement de sécurité AhnLab (ASEC) a identifié la campagne en cours et met en garde contre les risques de téléchargement de logiciels piratés.
Les chercheurs coréens ont découvert que les attaquants utilisaient plusieurs leurres, notamment Microsoft Office, Windows et le traitement de texte Hangul, populaire en Corée.
Microsoft Office pour les logiciels malveillants
Le programme d’installation fissuré de Microsoft Office dispose d’une interface bien conçue, permettant aux utilisateurs de sélectionner la version qu’ils souhaitent installer, la langue et d’utiliser des variantes 32 ou 64 bits.
Cependant, en arrière-plan, le programme d’installation lance un logiciel malveillant.NET obscurci qui contacte un canal Telegram ou Mastodon pour recevoir une URL de téléchargement valide à partir de laquelle il récupérera des composants supplémentaires.
L’URL pointe vers Google Drive ou GitHub, deux services légitimes qui ne risquent pas de déclencher des avertissements antivirus.
Les charges utiles base64 hébergées sur ces plates-formes contiennent des commandes PowerShell qui introduisent une gamme de souches de logiciels malveillants dans le système, décompressées à l’aide de 7Zip.
Le composant malveillant « Mise à jour » enregistre les tâches dans le planificateur de tâches Windows pour s’assurer qu’il persiste entre les redémarrages du système.
Selon la SEC, les types de logiciels malveillants suivants sont installés par le logiciel malveillant sur le système piraté:
- Orcus RAT: Permet un contrôle à distance complet, y compris l’enregistrement de frappe, l’accès à la webcam, la capture d’écran et la manipulation du système pour l’exfiltration des données.
- XMRig: Mineur de crypto-monnaie qui utilise les ressources système pour extraire Monero. Il arrête l’exploitation minière lors d’une utilisation intensive des ressources, par exemple lorsque la victime joue, pour éviter d’être détectée.
- 3Proxy: Convertit les systèmes infectés en serveurs proxy en ouvrant le port 3306 et en les injectant dans des processus légitimes, permettant aux attaquants d’acheminer le trafic malveillant.
- PureCrypter: télécharge et exécute des charges utiles malveillantes supplémentaires à partir de sources externes, garantissant que le système reste infecté par les dernières menaces.
- AntiAV: Perturbe et désactive le logiciel de sécurité en modifiant ses fichiers de configuration, empêchant le logiciel de fonctionner correctement et laissant le système vulnérable au fonctionnement des autres composants.
Même si l’utilisateur découvre et supprime l’un des logiciels malveillants ci-dessus, le module « Updater », qui s’exécute au lancement du système, le réintroduira.
Les utilisateurs doivent être prudents lors de l’installation de fichiers téléchargés à partir de sources douteuses et éviter généralement les logiciels piratés/fissurés.
Des campagnes similaires ont été utilisées pour pousser STOP ransomware, qui est l’opération de ransomware la plus active ciblant les consommateurs.
Comme ces fichiers ne sont pas signés numériquement et que les utilisateurs sont prêts à ignorer les avertissements antivirus lors de leur exécution, ils sont souvent utilisés pour infecter les systèmes avec des logiciels malveillants, dans ce cas, un ensemble complet.