AI DevwWrld CyberDSA Chatbot Summit Cyber Revolution Summit CYSEC Global Cyber Security & Cloud Expo World Series Digital Identity & Authentication Summit Asian Integrated Resort Expo Middle East Low Code No Code Summit TimeAI Summit

Distribuzione di malware tramite copie contraffatte di Microsoft Office

Analisi della campagna di malware tramite installer contraffatti di software popolari

Una campagna di malware distribuisce software pirata, sfruttando falsi installer di Microsoft Office. Gli URL di download puntano a servizi legittimi, rendendo difficile l'identificazione. Il malware include RAT, miner di criptovalute e tools per eludere gli antivirus.

This pill is also available in English language

L'AhnLab Security Intelligence Center (ASEC) ha rivelato una nuova campagna malevola che prende di mira gli utenti alla ricerca di versioni pirata di software diffusi come Microsoft Office, Windows e Hangul Word Processor. Gli hacker sfruttano installer falsi di Microsoft Office, ingannando le vittime con un'interfaccia ben progettata che permette di scegliere tra diverse versioni, lingue e architetture a 32 o 64 bit. Dietro questa facciata, si celano vari tipi di malware, tra cui RAT, miner di criptovalute, dropper, proxy e sistemi per eludere gli antivirus. Il falso installer lancia un malware .NET offuscato, che si connette a canali di messaggistica come Telegram o Mastodon per ottenere un URL di download genuino.

Metodologia di distribuzione del malware

Gli URL distribuiti puntano a servizi legittimi come Google Drive o GitHub, rendendo più difficile l'identificazione da parte degli antivirus. I payload sono codificati in base64 e contengono comandi PowerShell che decomprimono diversi ceppi di malware utilizzando 7Zip. Tra i componenti individuati, c’è un malware denominato "Updater", che sfrutta il Task Scheduler di Windows per garantire la persistenza delle minacce anche dopo il riavvio del sistema. Questa tecnica sofisticata permette agli attaccanti di mantenere un accesso continuo al sistema compromesso, rendendo difficile per le vittime ripulire completamente i loro dispositivi una volta infetti.

Tipologie di malware coinvolti

La ricerca di ASEC ha individuato vari tipi di malware installati tramite questa campagna. Tra questi, Orcus RAT è un trojan di accesso remoto che permette il controllo totale del sistema, con funzioni di keylogging, accesso alla webcam e altre capacità di esfiltrazione. XMRig è un miner di criptovalute che sfrutta le risorse del sistema per estrarre Monero, sospendendo l'attività di mining durante l'uso intenso delle risorse per evitare sospetti. 3Proxy trasforma i sistemi infetti in server proxy, consentendo agli attaccanti di instradare traffico dannoso. PureCrypter scarica ed esegue ulteriori payload dannosi, garantendo la continua infezione. Infine, AntiAV disabilita i software di sicurezza, manipolandone i file di configurazione per impedirne il corretto funzionamento e lasciando il sistema vulnerabile.

Implicazioni e consigli per gli utenti

Questa strategia di infezione attraverso software pirata non è nuova ma continua a essere efficace, come dimostra la diffusione del ransomware STOP, attualmente una delle operazioni di ransomware più attive che colpisce gli utenti consumer. I programmi piratati mancano di firme digitali e gli utenti tendono ad ignorare gli avvisi di sicurezza dato che sanno di utilizzare materiale non ufficiale. Questo comportamento, unito a eventuali difformità grafiche facilmente trascurabili, rende i file piratati un vettore ideale per le infezioni malware. Si consiglia vivamente di evitare il download e l'installazione di software pirata e di utilizzare sempre versioni autentiche e aggiornate dei programmi per evitare compromessi di sicurezza.

Seguici su Google News per altre pillole come questa

02/06/2024 08:31

Marco Verro

Ultime pillole

Il successo dell'Italia nella sicurezza informaticaCome l'Italia ha raggiunto l'eccellenza nella sicurezza informatica globale: strategie, collaborazioni e successi internazionali

Presunta violazione dei sistemi di Deloitte da parte di IntelBrokerServer esposto: come la sicurezza di Deloitte potrebbe essere stata compromessa da un cyber attacco

Infezioni di Vo1d su box Android TV: come proteggere i tuoi dispositiviScopri le misure essenziali per proteggere i tuoi box Android TV dal temibile malware Vo1d e mantenere i tuoi dispositivi al sicuro da minacce informatiche

Attacco hacker in Libano: Hezbollah sotto tiroShock tecnologico e feriti: la guerra cibernetica colpisce Hezbollah in Libano