Cybercriminali stanno utilizzando versioni crackate di Microsoft Office per distribuire un cocktail di malware, tra cui remote access trojans (RATs), cryptocurrency miners, malware downloaders, proxy tools, e anti-AV programs.
L’inganno del Microsoft Office piratato
Il falso installer di Microsoft Office presenta un’interfaccia accattivante, che consente agli utenti di selezionare la versione, la lingua e la variante (32 o 64 bit) da installare. Tuttavia, in background, l’installer lancia un malware .NET obfuscato che si connette a un canale Telegram o Mastodon per ricevere un URL di download valido da cui scaricare componenti aggiuntivi.
L’URL punta a Google Drive o GitHub, servizi legittimi che difficilmente attiveranno avvisi AV. I payload base64 ospitati su queste piattaforme contengono comandi PowerShell che introducono una varietà di malware nel sistema, scompattati utilizzando 7Zip.
Il modulo ‘Updater’ registra task nel Windows Task Scheduler per garantire la persistenza tra i riavvii del sistema.
Tipi di malware installati
I seguenti tipi di malware vengono installati sul sistema compromesso:
- Orcus RAT: Abilita il controllo remoto completo, inclusa la registrazione delle tastiere, l’accesso alla webcam, la cattura dello schermo e la manipolazione del sistema per l’estrazione di dati.
- XMRig: Minatore di criptovalute che utilizza le risorse del sistema per estrarre Monero. Interrompe l’estrazione durante un utilizzo elevato delle risorse, ad esempio durante il gioco, per evitare il rilevamento.
- 3Proxy: Convertisce i sistemi infetti in server proxy consentendo il routing del traffico malevolo.
- PureCrypter: Scarica e esegue payload malevoli aggiuntivi da fonti esterne, garantendo che il sistema rimanga infetto con le ultime minacce.
- AntiAV: Disabilita e interrompe la funzionalità delle soluzioni di sicurezza modificandone i file di configurazione, lasciando il sistema vulnerabile all’operazione degli altri componenti.
Anche se l’utente scopre e rimuove uno qualsiasi dei malware sopra elencati, il modulo ‘Updater’, che si esegue all’avvio del sistema, reintrodurrà il malware.
Consigli per proteggersi
Per proteggersi da questo tipo di minacce, è importante:
- Evitare software piratato: I software piratati possono contenere malware o backdoor che mettono a rischio la sicurezza del sistema.
- Utilizzare software autentici: Acquistare software autentici da fonti affidabili per garantire la sicurezza del sistema.
- Mantenere aggiornato il sistema: Installare regolarmente aggiornamenti e patch di sicurezza per proteggere il sistema dalle vulnerabilità note.
- Utilizzare un software antivirus affidabile: Un software antivirus affidabile può rilevare e rimuovere malware prima che causi danni al sistema.
- Essere cauti con i download: Evitare di scaricare file da fonti sconosciute o dubbie, e verificare sempre l’integrità dei file prima di eseguirli.
- Educare gli utenti: Informare e istruire gli utenti sui rischi associati al malware e alle best practice per la sicurezza informatica.
Seguendo queste best practice, è possibile ridurre significativamente il rischio di infezione da malware e garantire la sicurezza del sistema.
Articolo: Pirated Microsoft Office delivers malware cocktail on systems, BleepingComputer, https://www.bleepingcomputer.com/news/security/pirated-microsoft-office-delivers-malware-cocktail-on-systems/
