I ricercatori di ASEC hanno scoperto una serie di attività malevole in cui gli attaccanti utilizzano versioni piratate di Office e altri strumenti per Windows per distribuire varianti di malware.
Questa campagna ha prevalentemente colpito utenti in Sud Corea, distribuendo downloader, miner, Remote Access Trojan (RAT) e software per eludere i controlli degli antivirus. In un recente sviluppo, gli attaccanti hanno perfezionato i loro malware aggiungendo una funzionalità che consente di controllare il Task Scheduler del sistema. Una volta collegatosi allo scheduler, il malware esegue comandi PowerShell per installare ed eseguire payload malevoli.
I malware distribuiti simulano accuratamente gli installer dei servizi Office, inducendo molti utenti a credere di installare software legittimo. Tuttavia, in background, l’installer esegue uno o più malware offuscati sviluppati con .NET, mostrando una capacità di persistenza che rende difficile l’eliminazione dai dispositivi infetti.
Tra i malware più diffusi individuati vi sono Orcus RAT, un trojan che offre funzionalità di controllo come keylogging, accesso alla webcam, screenshot e manipolazione del sistema, e XMRig, un miner di criptovalute che sfrutta le risorse del sistema per minare Monero. Altri malware rilevati includono 3Proxy, che trasforma i sistemi infetti in server proxy, PureCrypter, che scarica ed esegue altri payload malevoli, e AntiAV, un sistema che disabilita i controlli dei software di sicurezza modificando i file di configurazione.
Per proteggersi da queste campagne, è essenziale evitare di scaricare e installare software piratato da fonti non attendibili. Questo tipo di attività malevole viene utilizzato anche nelle campagne ransomware, con conseguenze ancora più gravi.
