請警惕 Office 破解器，黑客用于分發(fā)“全家桶”惡意軟件

IT之家 5 月 31 日消息，AhnLab 安全情報中心今天發(fā)布示警博文，表示有黑客偽裝成微軟 Office 破解器，來分發(fā)包括遠(yuǎn)程訪問木馬（RAT）、加密貨幣挖掘機(jī)、惡意軟件下載器等惡意軟件。

博文指出攻擊者精心設(shè)計了 Office 破解工具的界面，用戶可以選擇要安裝的版本、語言以及使用 32 位還是 64 位變體。

不過該破解工具后臺會啟動混淆的 .NET 惡意軟件，該惡意軟件會訪問 Telegram 或 Mastodon 頻道，接收一個有效的 URL，并從該 URL 獲取其他組件。

URL 指向 Google Drive 或 GitHub，這些平臺上托管的 base64 有效載荷包含 PowerShell 命令，使用 7Zip 解壓縮后可將一系列惡意軟件引入系統(tǒng)。

據(jù) ASEC 稱，被入侵系統(tǒng)上的惡意軟件會安裝各種類型的惡意軟件，IT之家附上內(nèi)容如下：

• Orcus RAT：實現(xiàn)全面遠(yuǎn)程控制，包括鍵盤記錄、網(wǎng)絡(luò)攝像頭訪問、屏幕捕獲和系統(tǒng)操作，以實現(xiàn)數(shù)據(jù)外滲。

• XMRig：使用系統(tǒng)資源挖掘 Monero 的加密貨幣礦機(jī)，它會在受害者玩游戲等資源使用率較高時停止挖礦，以避免被發(fā)現(xiàn)。

• 3Proxy：通過打開 3306 端口將受感染系統(tǒng)轉(zhuǎn)換為代理服務(wù)器，并將其注入合法進(jìn)程，允許攻擊者路由惡意流量。

• PureCrypter：下載并執(zhí)行來自外部的額外惡意有效載荷，確保系統(tǒng)持續(xù)感染最新威脅。

• AntiAV：通過修改安全軟件的配置文件來破壞和禁用安全軟件，使軟件無法正常運(yùn)行，并使系統(tǒng)容易受到其他組件操作的影響。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。