广告

小心网上的破解版Office,免费的背后可能是大坑

2024-05-31 17:37:35 综合报道 阅读:
在最新的攻击案例中,恶意软件伪装成破解版微软Office,通过文件共享服务和种子进行传播···

近日,AhnLab安全情报中心(ASEC)发布了一份报告,揭露了一种新型恶意软件攻击方法,这些攻击伪装成破解软件,如Windows激活工具和Hangul Word Processor,对用户系统进行感染,分发包括远程访问木马(RAT)、加密货币挖掘机、恶意软件下载器等恶意软件。NS4ednc

在最新的攻击案例中,恶意软件伪装成破解版微软Office,通过文件共享服务和种子进行传播。可以看到安装界面十分的逼真,用户能够选择各种Office软件,以及相应的语言和系统版本。NS4ednc

NS4ednc

恶意软件执行的破解程序NS4ednc

使用.NET开发的恶意软件经过了混淆处理,当用户安装破解版Office时,其会接收到攻击者上传至Telegram和Mastodon平台的下载URL,URL会指向Google Drive或GitHub,通过这些平台上托管的Base64加密的PowerShell命令安装恶意软件。NS4ednc

同时,攻击者通过名为“software_reporter_tool.exe”的更新程序来进行下载和维护恶意软件的持久性,更新程序会注册到任务计划程序,这样即使系统重新启动后也能持续运行。NS4ednc

NS4ednc

攻击流程NS4ednc

分析报告指出,该攻击方法可能会安装的恶意软件包括:NS4ednc

Orcus RAT,可实现全面远程控制,除了基本的系统信息收集、命令执行等,还可以进行键盘记录、网络摄像头访问和屏幕控制,攻击者可以控制和外泄受感染系统的信息。NS4ednc

XMRig,会使用受感染系统的资源挖掘Monero加密货币,同时它会在用户进行玩游戏或其他资源使用率较高的行为时停止挖矿,以避免被发现。NS4ednc

3Proxy,通过将3306端口添加到防火墙规则中,让受感染系统转换为代理服务器,并将其注入合法进程,允许攻击者路由恶意流量。NS4ednc

PureCrypter,下载并执行来自外部的额外恶意有效载荷,确保系统持续感染最新威胁。NS4ednc

AntiAV,通过修改安全软件的配置文件来破坏和禁用安全软件,使软件无法正常运行,并使系统容易受到其他组件操作的影响。NS4ednc

目前,由于攻击者每周多次分发新的恶意软件以绕过文件检测,受感染系统的数量正在上升。ASEC警告,即使删除了已安装的恶意软件,注册的任务计划程序仍会定期安装新的恶意软件。因此建议用户在运行从文件共享网站下载的可执行文件时务必小心谨慎,尽量从官方网站下载产品。此外,用户应将安全软件更新到最新版本,以防止恶意软件感染。NS4ednc

责编:Ricardo
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了