駭客藉由盜版軟體來散布惡意程式的情況,不時有事故傳出,其中,聲稱提供破解微軟辦公室軟體Office的情況,算是相當常見。由於微軟才在4月下旬,針對下一代買斷版本的Office 2024發布預覽版,並規畫於今年底上市,因此,可能有駭客想搭上這波風潮來散布各式惡意軟體。
資安業者AhnLab揭露假借提供破解版Office安裝工具的惡意軟體,駭客藉由檔案共享服務、Torrnet種子來散布,該惡意程式號稱可讓使用者自行選擇要安裝的Office版本(2013至2024版)、自行挑選需要安裝的元件,並能指定程式的介面語言。然而研究人員指出,一旦使用者依照指示執行這個惡意安裝程式,電腦就會在背景執行PowerShell命令,安裝其他惡意軟體。
在背景當中,此Office安裝程式會啟動經過混淆處理的.NET惡意軟體,藉由存取即時通訊軟體Telegram的頻道,或社群網站Mastodon的網址,從而取得下載檔案的URL,而這些網址位於Google Drive或是GitHub,因此一般的防毒軟體都會放行。
若是透過惡意軟體從上述URL下載與還原經Base64編碼處理的有效酬載,並且執行,就會觸發PowerShell命令,並將一系列的惡意軟體植入受害電腦。
這些惡意軟體包括:木馬程式Orcus RAT、挖礦軟體XMRig、將受害電腦變成非法代理伺服器的3Proxy、惡意程式下載工具PureCrypter,以及能竄改防毒軟體組態或是進行停用的程式AntiAV。
值得留意的是,就算使用者察覺惡意程式並手動刪除,只要電腦重新開機,駭客部署的「更新程式」就會重新載入前述的惡意軟體。
熱門新聞
2024-06-17
2024-06-18
2024-06-17
2024-06-18
2024-06-18
2024-06-18
2024-06-19