Ultimamente si stanno infiammando sul web le discussioni riguardo delle segnalazioni di potenziali “cocktail di malware” distribuiti da dei cybercriminali attraverso delle versioni crackate di Microsoft Office, pubblicizzate e presenti normalmente sui siti che offrono download con torrent. I malware in questione insediati nei dispositivi degli utenti vittima includono accesso remoto tramite Trojan (RATs), miners di criptovalute, programmi in grado di contrastare gli antivirus, strumenti per proxy e altri tipi di software in grado di favorire il download di altri malware.
Il tutto è stato scovato dalla AhnLab Security Intelligence Center, la quale ha voluto avvisare la totalità dell’utenza, attraverso un apposito articolo, di evitare di scaricare Microsoft Office tramite software pirata, segnalando la pericolosità e i rischi a cui vanno incontro facendolo. I ricercatori coreani hanno scoperto che la diffusione di questi malware è prevalente proprio in Corea, dato che i malfattori attirano gli utenti con strumenti e software molto utili come l’Hangul Word Processor, popolare nel loro Paese, oltre naturalmente a Microsoft Office e Windows stessi.
Come Microsoft Office distribuisce i Malware in questione
A ingannare i tanti utenti è la presenza di un’interfaccia completa nell’installazione di Microsoft Office o degli altri programmi contenenti software malfamati, la quale è abbastanza veritiera da convincere anche l’utente più esperto. Con essa è possibile scegliere la versione del programma, la lingua e se usare la versione a 32 o 64 bit, ma in realtà in contemporanea stanno venendo diffusi diversi malware nel dispositivo tramite una rete di comunicazione dove canali Telegram o altro ricevono la richiesta e forniscono l’URL per scaricare il tutto, processando il tutto attraverso siti come Google Drive o GitHub, i quali difficilmente vengono rilevati come malsani dagli anti-virus. Ecco alcuni dei tipi di malware installati, secondo i report ASEC.
- Orcus RAT: consente il controllo remoto completo, compreso il keylogging, l’accesso alla webcam, la cattura dello schermo e la manipolazione del sistema per l’esfiltrazione dei dati.
- XMRig: Minatore di criptovalute che utilizza le risorse di sistema per estrarre Monero. Interrompe il mining durante l’utilizzo di risorse elevate, ad esempio quando la vittima sta giocando, per evitare il rilevamento.
- 3Proxy: Converte i sistemi infetti in server proxy aprendo la porta 3306 e iniettandoli nei processi legittimi, consentendo agli aggressori di instradare il traffico dannoso.
- PureCrypter: Scarica ed esegue ulteriori payload dannosi da fonti esterne, assicurando che il sistema rimanga infettato dalle minacce più recenti.
- AntiAV: interrompe e disabilita il software di sicurezza modificandone i file di configurazione, impedendo al software di funzionare correttamente e lasciando il sistema vulnerabile al funzionamento degli altri componenti.
Sembra inoltre che anche il rivelarli ed eliminarli subito non sia abbastanza, dato che viene installato un modulo Update che si avvia con il sistema operativo e consente di riscaricare il tutto. Considerando quanto gli utenti ignorino i messaggi di avviso quando scaricano delle crack, come per esempio può essere per Microsoft Office, spesso certi mezzi illeciti si insidiano facilmente nei sistemi, molte delle volte in grossi gruppi come questo caso, motivo per cui è lecito fare un appello sullo scaricare soltanto software per vie legali e più sicure.
