據(jù)BleepingComputer消息，AhnLab 安全情報(bào)中心（ASEC）發(fā)現(xiàn)網(wǎng)絡(luò)攻擊者正利用資源網(wǎng)站上的盜版微軟 Office辦公軟件傳播多種惡意軟件。

這些惡意軟件包括遠(yuǎn)程訪問木馬（RAT）、加密貨幣挖掘機(jī)、惡意軟件下載器、代理工具和反病毒程序。

破解版 Office 安裝程序具有精心設(shè)計(jì)的界面，用戶可以選擇要安裝的版本、語(yǔ)言。用戶一旦開始安裝，安裝程序就會(huì)在后臺(tái)啟動(dòng)一個(gè)混淆的 .NET 惡意軟件，該惡意軟件會(huì)聯(lián)系 Telegram 或 Mastodon 頻道，以接收一個(gè)有效的下載 URL，并從該 URL 獲取其他組件。

惡意Office安裝程序界面（來源：ASEC）

由于URL 指向 Google Drive 或 GitHub，這兩種合法服務(wù)都不太可能觸發(fā)防病毒警告。這些平臺(tái)上托管的 base64 有效載荷包含 PowerShell 命令，使用 7Zip 解壓縮后可將一系列惡意軟件引入系統(tǒng)。

獲取和解壓縮惡意軟件的組件（來源：ASEC）

惡意軟件組件 "Updater "會(huì)在 Windows 任務(wù)計(jì)劃程序中注冊(cè)任務(wù)，以確保在系統(tǒng)重啟期間持續(xù)運(yùn)行。據(jù) ASEC 稱，惡意軟件會(huì)在被入侵系統(tǒng)上安裝以下類型的惡意軟件：

• Orcus RAT：實(shí)現(xiàn)全面遠(yuǎn)程控制，包括鍵盤記錄、網(wǎng)絡(luò)攝像頭訪問、屏幕捕獲和系統(tǒng)操作，以實(shí)現(xiàn)數(shù)據(jù)外滲。
• XMRig：使用系統(tǒng)資源挖掘 Monero 的加密貨幣礦機(jī)，會(huì)在受害者玩游戲等資源使用率高的時(shí)候停止挖礦，以避免被發(fā)現(xiàn)。
• 3Proxy：通過打開 3306 端口將受感染系統(tǒng)轉(zhuǎn)換為代理服務(wù)器，并將其注入合法進(jìn)程，允許攻擊者路由惡意流量。
• PureCrypter：下載并執(zhí)行來自外部的額外惡意有效載荷，確保系統(tǒng)持續(xù)感染最新威脅。
• AntiAV：通過修改配置文件破壞和禁用安全軟件，阻止軟件正常運(yùn)行。

即使用戶發(fā)現(xiàn)并刪除了上述惡意軟件，在系統(tǒng)啟動(dòng)時(shí)執(zhí)行的 "更新器 "模塊也會(huì)重新引入惡意軟件。

類似的活動(dòng)也被用來推送 STOP 勒索軟件——一款針對(duì)消費(fèi)者的活躍勒索軟件。

攻擊鏈（來源：ASEC）

由于這些文件沒有數(shù)字簽名，且用戶在運(yùn)行這些文件時(shí)通常會(huì)忽略殺毒軟件的警告，因此它們經(jīng)常被網(wǎng)絡(luò)攻擊者用來入侵系統(tǒng)。建議用戶在安裝從可疑來源下載的文件時(shí)應(yīng)謹(jǐn)慎，一般應(yīng)避免安裝盜版/破解軟件。