Gli esperti dell’AhnLab Security Intelligence Center (ASEC) hanno individuato copie pirata di Microsoft Office che nascondono diversi malware, tra cui downloader, RAT (Remote Access Trojan) e miner di criptovalute, oltre a vari tool che consentono di aggirare la protezione degli antivirus. Le tecniche utilizzate per infettare i computer sono piuttosto ingegnose.
Usare sempre copie originali
Le copie pirata di Microsoft Office vengono distribuite tramite torrent o servizi di file sharing. In realtà, l’utente scarica un installer che permette di selezionare versione, lingua e le singole applicazioni della suite di produttività. Il tool contatta un canale Telegram o Mastodon da cui riceve un URL per il download dei componenti.
L’URL punta a file ospitati da Google Drive o GitHub, due servizi legittimi che non sono considerati pericolosi dagli antivirus. I file, cifrati in Base64, nascondono comandi PowerShell nel codice che permettono l’installazione del cocktail di malware. Uno di componenti, denominato Updater, viene utilizzato per aggiungere un’attività pianificata e quindi mantenere la persistenza (esecuzione all’avvio del computer).
I malware installati sono: Orcus RAT (controllo remoto, keylogging, screen capture, accesso alla webcam, esfiltrazione dei dati), XMRig (miner di criptovalute Monero), 3Proxy (converte il computer in server proxy), PureCrypter (scarica altri payload da fonti esterne) e AntiAV (disabilita le soluzioni di sicurezza).
Se l’utente scopre e rimuove i malware, il componente Updater li installerà nuovamente al successivo riavvio. Il consiglio è ovviamente quello di non scaricare software pirata tramite torrent o altri fonti simili. In molti casi, i malware operano indisturbati e possono inviare numerosi dati personali ai cybercriminali.