Copie pirata di Microsoft Office distribuiscono un mix letale di malware

L'AhnLab Security Intelligence Center (ASEC) ha identificato una campagna malware che prende di mira gli utenti che cercano versioni piratate di prodotti software popolari come Microsoft Office, Windows e Hangul Word Processor.

L'esca più utilizzata dagli aggressori è un programma di installazione contraffatto di Microsoft Office, che presenta un'interfaccia ben realizzata che consente agli utenti di selezionare la versione desiderata, la lingua e le varianti a 32 o 64 bit.

Dietro a questo aspetto convincente, si nasconde un pericoloso cocktail di malware, composto da strumenti RAT, miner di criptovalute, dropper di malware, strumenti proxy e contromisure per gli antivirus. Il programma di installazione contraffatto avvia infatti un malware .NET offuscato che contatta canali di messaggistica come Telegram o Mastodon per ricevere un URL di download valido.

Questo URL punta a servizi legittimi come Google Drive o GitHub (rendendo più difficile per gli antivirus rilevare immediatamente la minaccia) dove sono ospitati payload codificati in base64 che contengono comandi PowerShell per introdurre una serie di ceppi di malware nel sistema, decompressi tramite 7Zip. C'è poi un componente malware chiamato "Updater" che registra le attività in Windows Task Scheduler con l'obiettivo di garantire la persistenza dei malware anche a seguito del riavvio del sistema.

L'analisi di ASEC ha identificato i seguenti tipi di malware installati con questa strategia:

• Orcus RAT: trojan di accesso remoto che consente un controllo completo del sistema, con funzioni di keylogging, accesso alla webcam, cattura dello schermo e manipolazione del sistema per l'esfiltrazione dei dati.
• XMRig: miner di criptovalute che sfrutta le risorse di sistema per estrarre Monero, interrompendo il mining durante un elevato utilizzo delle risorse per evitare di destare sospetti e schivare la possibilità di essere rilevato.
• 3Proxy: converte i sistemi infetti in server proxy, aprendo la porta 3306 e iniettandosi in processi legittimi, consentendo agli aggressori di instradare arbitrariamente il traffico dannoso.
• PureCrypter: scarica ed esegue payload dannosi aggiuntivi da fonti esterne, assicurando che il sistema rimanga infettato dalle minacce più recenti.
• AntiAV: interrompe e disabilita il software di sicurezza modificandone i file di configurazione, impedendo al software di funzionare correttamente e lasciando il sistema vulnerabile al funzionamento degli altri componenti.

L'eventuale scoperta da parte dell'utente di uno qualsiasi di questi malware e la sua rimozione non hanno alcun effetto: il già citato modulo Updater si occuperà infatti di reinstallarlo dopo il riavvio del sistema, consentendo così di proseguire le attività dannose.

Le campagne di infezione che si basano sulla compromissione di programmi piratati sono già state messe in atto in passato per la distribuzione del ransomware STOP, che al momento risulta essere l'operazione ransomware maggiormente attiva che prende di mira gli utenti consumer. 

Si tratta del resto di una strategia efficace: i file di programmi piratati non sono firmati digitalmente e gli utenti, proprio perché si tratta di materiale pirata, ignorano consapevolmente gli avvisi antivirus legati all'uso di file non firmati. Non solo, eventuali difformità grafiche passano di fatto inosservate, proprio perché l'utente sa di avere a che fare con un applicativo non ufficiale. Tutto ciò diventa un canale di infezione molto efficace per i criminali informatici, che possono così compromettere i sistemi degli utenti con le minacce che preferiscono.