Piratski Microsoft Office isporučuje zlonamjerni softver

AUTOR ·

Piratski softver, posebno upotreba krekovanih verzija Microsoft Office paketa, postaje sve češća prijetnja u sajber bezbjednosti. Zlonamjerni akteri su iskoristili ovaj trend, kako pokazuje istraživanje sigurnosnih istraživača kompanije AhnLab Security Intelligence Center – ASEC, tako što su distribuirali koktele zlonamjernog softvera preko ovih neovlaštenih instalacija. U nastavku će biti riječi o detaljima tekuće kampanje i o rizicima povezanim sa preuzimanjem piratskog softvera.

Piratski Microsoft Office

Piratski Microsoft Office isporučuje zlonamjerni softver; Source: Bing Image Creator

PIRATSKI MICROSOFT OFFICE

Piratski softver je dugo bio ozloglašen izvor sajber prijetnji, a Microsoft Office paket nije izuzetak. U posljednje vrijeme, zlonamjerni akteri koriste popularnost krekovanih verzija Microsoft Office paketa, koje se naširoko reklamiraju na piratskim internet stranicama, za distribuciju koktela zlonamjernog softvera.

 Microsoft Office je jedan od najčešće korištenih paketa za produktivnost na globalnom nivou. Njegovo široko usvajanje čini ga privlačnom metom za zlonamjerne aktere koji žele da distribuiraju zlonamjerni softver putem piratskih verzija softvera. Piratske internet nude krekovane instalacije koji zaobilaze uslove licenciranja, omogućavajući korisnicima da preuzmu i koriste Microsoft Office bez plaćanja važeće licence.

 

Koktel zlonamjernog softvera

Koktel zlonamjernog softvera je taktika koju koristi zlonamjerni akteri, pošto im omogućava da se ne ograniče na jednu vrstu zlonamjernog softvera; umjesto toga, oni distribuiraju različite vrste prijetnji kao dio istog korisnog tereta. Koktel zlonamjernog softvera uključuje trojance za daljinski pristup (eng. remote access trojan – RAT), rudare kriptovaluta, programe za preuzimanje zlonamjernog softvera, proxy alate i anti-AV softver.

Korisnici koji ignorišu upozorenja antivirusnog softvera i instaliraju piratski softver su u opasnosti da zaraze svoje sisteme ovim koktelom zlonamjernog softvera. Posljedice mogu da variraju od manjih smetnji, kao što su neželjeni iskačući prozori ili usporavanja sistema, do ozbiljnijih problema poput krađe podataka, finansijskih gubitaka ili čak krađe identiteta.

Napadači koriste različite mamce, uključujući Microsoft Office, Windows i Hangul Word Processor, koji je popularan u Koreji. Oni distribuiraju ove zlonamjerne programe za instalaciju na piratske internet stranice, gdje korisnici mogu biti u iskušenju da ih preuzmu zbog njihove očigledne legitimnosti. Dobro dizajniran korisnički interfejs krekovane instalacije Microsoft Office paketa dodatno doprinosi njegovoj privlačnosti.

 

Updater komponenta

Komponenta zlonamjernog softvera “Updater” igra ključnu ulogu u ukupnoj zlonamjernoj infrastrukturi napada zlonamjernog aktera. Ova komponenta je prvenstveno odgovorna za preuzimanje i održavanje postojanosti drugih vrsta zlonamjernog softvera na kompromitovanom sistemu. Nakon izvršenja, program za ažuriranje se prvo registruje kao zadatak u Windows Task Scheduler sistemskoj komponenti kako bi obezbijedio nastavak rada čak i nakon ponovnog pokretanja sistema. Na taj način može izbjeći detekciju od strane bezbjednosnih rješenja koja mogu da skeniranju aktivne procese samo tokom redovnih skeniranja ili kada se sumnja na incident. Ovaj mehanizam postojanosti omogućava zlonamjernom softveru da ostane neotkriven i nastavi svoje aktivnosti u pozadini.

Primarna funkcija Updater zlonamjerne komponente uključuje preuzimanje dodatnih komponenti sa udaljenih lokacija, kao što su Telegram ili Mastodon kanali, Google Drive ili GitHub platforme. Ove usluge su legitimne platforme za koje je malo vjerovatno da će pokrenuti antivirusna upozorenja zbog njihove široke upotrebe i reputacije za skladištenje sadržaja koji generiše korisnik.

Zlonamjerni sadržaji koji se nalaze na ovim platformama su kôdirani u Base64 formatu. Nakon dešifrovanja, otkrivaju PowerShell komande dizajnirane da unesu različite vrste zlonamjernog softvera u sistem. Sigurnosni istraživači su identifikovali sljedeće zlonamjerne softvere koji su bili instalirani na inficiranim sistemima:

 

  • Orcus RAT – Ovo je vrsta zlonamjernog softvera koji podržava osnovne funkcije daljinske kontrole kao što su prikupljanje sistemskih informacija, izvršavanje komandi i zadataka za datoteke, registre i procese. Takođe pruža funkcije eksfiltracije informacija pomoću praćenja korisničkog unosa  (eng. keylogging) i veb kamera. Zlonamjerni akter može da kontroliše i eksfiltrira informacije iz zaraženog sistema, jer podržava kontrolu ekrana preko HVNC i RDP protokola.
  • XMRig – Ovo je vrsta zlonamjernog softvera identifikovanog kao rudar kriptovaluta . On je rudar kriptovalute Monero koji se može distribuirati pod maskom krekovanog softvera za infekciju sistema, posebno u Južnoj Koreji. Zaustavlja rudarenje kada programi koje izvršava sistem zauzimaju značajnu količinu sistemskih resursa, kao što su igre, uslužni programi za nadgledanje hardvera i programi za obradu grafike, kako bi se izbjeglo otkrivanje.
  • 3ProxyOvaj zlonamjerni softver konvertuje zaražene sisteme u proxy servere tako što otvara port 3306 i ubacuje kroz legitimne procese, omogućavajući napadačima da rutiraju zlonamjerni saobraćaj i dozvoljavajući im da zloupotrebe zaraženi sistem kao proxy.
  • PureCrypterOvo je zlonamjerni softver preuzima i izvršava dodatne zlonamjerne korisne terete iz spoljnih izvora, osiguravajući da sistem ostane inficiran najnovijim prijetnjama.
  • AntiAVOvo je komponenta zlonamjernog softvera koja ometa i onemogućava bezbjednosni softver, čineći sistem ranjivim na druge napade. To radi tako što mijenja konfiguracione datoteke kako bi bezbjednosni softver bio neoperativan.

 

Čak i ako korisnik otkrije i ukloni bilo koji od gore navedenih zlonamjernih softvera,  modul Updater komponenta, koji se izvršava nakon pokretanja sistema, ponovo će ga uvesti u sistem.

 

RIZICI

Preuzimanje piratskog softvera, kao što je krekovana verzija Microsoft Office paketa, predstavlja nekoliko značajnih rizika za korisnike. Ovi rizici nisu ograničeni na neposredne posljedice, već se protežu i na potencijalne dugoročne prijetnje i sistemske kompromise.

Prvo, piratski softver često dolazi sa skrivenim zlonamjernim softverom ili reklamnim softverom (eng. adware) koji se može tiho instalirati na uređaj bez znanja korisnika. U ovom slučaju, kao što je opisano iznad, zlonamjerni akteri koriste krekovane instalacije Microsoft Office paketa za distribuciju raznih zlonamjernih korisnih tereta. Ovi zlonamjerni softveri mogu ukrasti osjetljive informacije, daljinski preuzeti kontrolu nad sistemom ili čak šifrovati datoteke tražeći otkup. Dalje, piratski softver može sadržati ranjivosti koje zlonamjerni akteri koriste da bi dobili neovlašteni pristup uređaju ili mreži. Zlonamjerni akteri mogu da iskoriste ove slabosti da instaliraju zlonamjerni softver, ukradu podatke ili pokrenu dalje napade na druge povezane sisteme.

Pored toga, piratski softver možda neće primati redovna ažuriranja i ispravke, ostavljajući sistem ranjivim na poznate bezbjednosne prijetnje. Softverske kompanije često objavljuju ispravke kako bi popravile greške, poboljšale performanse i adresirale novootkrivene ranjivosti. Korištenjem zastarelih verzija softvera korisnici se izlažu riziku da budu eksploatisani od strane zlonamjernih aktera koji ciljaju na ove slabosti. Piratski softver može dovesti i do problema kompatibilnosti sa drugim aplikacijama ili operativnim sistemima. Pošto krekovana verzija možda nije u skladu sa industrijskim standardima i smjernicama, možda neće funkcionisati besprijekorno sa drugim softverskim ili hardverskim komponentama na korisničkom sistemu. To može dovesti do pada aplikacija, gubitka podataka ili čak nestabilnosti sistema.

Na kraju, korištenje piratskog softvera može korisnike da izloži pravnim rizicima. Softverske kompanije ulažu u istraživanje i razvoj i oslanjaju se na naknade za licenciranje i prodaju da bi nadoknadile svoja ulaganja. Preuzimanjem piratskog softvera, u suštini korisnici zaobilaze legitimne kanale distribucije i krše zakone o autorskim pravima. To može dovesti do velikih novčanih kazni ili čak krivičnih prijava.

 

ZAKLJUČAK

Tekuću kampanju identifikovali su različiti istraživači bezbednosti i izvijestili da zlonamjerni akteri koriste razne mamice, kao što su Microsoft Office, Windows i popularni softver poput Hangul Word Processor u Koreji. Krekovane instalacije za ove programe dolazi sa dobro dizajniranim korisničkim okruženjem, omogućavajući korisnicima da biraju između 32-bitnih i 64-bitnih verzija, jezika i tipova instalacije. Kritična komponenta ove kampanje je Updater. Ovaj zlonamjerni softver ima nekoliko svrha: preuzima nove komponente ili ažurira postojeće, održava postojanost zlonamjernog softvera na zaraženim sistemima i registruje se u Windows Task Scheduler sistemskoj komponenti kako bi obezbijedio svoj nastavak rada čak i nakon ponovnog pokretanja sistema.

Rizici povezani sa piratskim Microsoft Office softverom nisu hipotetički; dokazani su u napadima u stvarnom svetu. Kampanja STOP ransomware zlonamjernog softvera je odličan primjer kako zlonamjerni akteri koriste krekovani softver kao vektor za svoje zlonamjerne aktivnosti. Zbog toga korisnici moraju biti izuzetno oprezni kada preuzimaju ili koriste piratski softver poput krekovanih verzija Microsoft Office softvera. Rizici su značajni: od krađe podataka i finansijskih gubitaka usljed ransomware napada do instaliranja trajnog zlonamjernog softvera koji se može koristiti u razne zlonamjerne svrhe.

Neophodno je zapamtiti da legitimni kanali, kao što su zvanične internet stranice ili pouzdani dobavljači, nude mnogo sigurniju alternativu za kupovinu softvera. Izbjegavajući piratski softver, korisnici mogu značajno da smanje rizik da naiđu na zlonamjerne sadržaje i da se zaštite od opasnosti koje vrebaju u digitalnom svetu.

 

ZAŠTITA

Dakle, kako se korisnici mogu zaštititi od ovih opasnosti? Evo nekoliko koraka koji se mogu preduzeti:

  1. Najefikasniji način da korisnici ne postanu žrtve zlonamjernog softvera koji se distribuira preko piratskih internet stranica je tako da uopšte ne preuzimaju i ne instaliraju takav softver. Umjesto toga, treba investirati u legitimne verzije aplikacija koje su korisnicima potrebne,
  2. Redovno ažuriranje operativnog sistema i instaliranih aplikacija može pomoći u zaštiti od poznatih ranjivosti koje zlonamjerni akteri mogu da iskoriste za distribuciju zlonamjernog softvera,
  3. Uvijek preuzimati softver iz pouzdanih izvora, kao što su zvanični internet stranice ili ovlašćeni distributeri. Biti oprezan sa internet stranicama trećih strana koji nude besplatne verzije popularnih aplikacija, jer mogu sadržati skrivene prijetnje,
  4. Instalirati i održavati antivirusni softver, jer on može pomoći u otkrivanju i uklanjanju zlonamjernog softvera pre nego što nanese štetu sistemu. Uvjeriti se da se koristi renomirano antivirusno rješenje i da je redovno ažurirano,
  5. Biti oprezan prilikom otvaranja priloga elektronske pošte ili klikova na veze, jer zlonamjerni akteri često koriste phishing elektronske poruke sa priloženim datotekama ili vezama za distribuciju zlonamjernog softvera. Uvijek provjeriti identitet pošiljaoca pre otvaranja sumnjivih elektronskih poruka i izbjegavati preuzimanje datoteka iz nepoznatih izvora,
  6. Koristiti zaštitni zid, jer on može pomoći da se blokira neovlašteni pristup sistemu i može spriječiti sajber napade. Uvjeriti se da je zaštitni zid omogućen na uređaju i da je konfigurisan na odgovarajući način za mrežno mrežno okruženje u kojem se nalazi,
  7. Biti informisan o najnovijim trendovima zlonamjernog softvera, kao što su PureCrypter ili AntiAV. Korisnici mogu redovno provjeravati pouzdane bezbjednosne vesti i pratiti renomirane stručnjake za sajber bezbjednost na društvenim medijima. Ovo znanje će pomoći korisnicima da identifikuju potencijalne prijetnje i preduzmu odgovarajuće mjere da zaštitite svoj sistem,
  8. Koristiti složene, jedinstvene lozinke za sve naloge i redovno ih mijenjati. Pored toga, omogućiti autentifikaciju u više koraka gdje je to moguće kako bi se dodao dodatni nivo bezbednosti,
  9. Praviti rezervne kopije podataka, jer to može pomoći prilikom oporavka od ransomware napada ili napada drugih vrsta zlonamjernog softvera koji mogu da šifruju ili izbrišu podatke. Koristiti renomirano rješenje za pravljenje rezervnih kopija i čuvati rezervne kopije na bezbjednoj lokaciji, kao što je spoljni čvrsti disk ili usluga skladištenja u oblaku.
  10. Primjenjivati navike bezbjednog pregledanja izbjegavajući posjete sumnjivim internet lokacijama, preuzimanje neprovjerenog softvera ili klikova na iskačuće oglase. Ove radnje mogu dovesti do infekcija zlonamjernim softverom koje bi mogle da ugroze sistem i ukradu osjetljive informacije.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.