盗版 Microsoft Office：有吸引力的界面背后隐藏着什么

MS Office 如何向您的计算机传送混合病毒。

网络犯罪分子通过 Microsoft Office 的黑客版本分发一组恶意软件，这些恶意软件在 torrent 网站上推广。恶意软件包括特洛伊木马、加密货币挖掘程序、恶意软件下载程序、代理工具和防病毒破坏程序。

微软 Office

ASEC 团队识别了该活动，并对下载盗版软件的风险发出警告。研究人员发现，攻击者使用多种诱饵，包括 Microsoft Office、Windows 和韩国流行的文本编辑器 Hangul Word Processor。

ASEC 已识别的营销活动

被黑的 Microsoft Office 安装程序有一个精心设计的界面，允许用户选择版本、语言和位数（32 或 64 位）。

安装程序界面

安装程序界面

但是，安装程序会在后台运行经过混淆的基于 .NET 的恶意软件，该恶意软件与 Telegram 或 Mastodon 通道进行通信，以获取有效的 URL 以下载其他组件。这些 URL 指向 Google Drive 或 GitHub - 很少触发防病毒警告的合法服务。

托管在 Google Drive 和 GitHub 上的 Base64 有效负载包含 PowerShell 命令，这些命令会将各种恶意软件注入系统，并使用 7Zip 提取。一个名为“更新程序”的组件向 Windows 任务计划程序注册任务，以确保它们在系统重新启动后仍然存在。

最终将以下程序交付给系统：

Orcus RAT：提供全面的远程控制，包括击键记录（keylogger）、网络摄像头访问、屏幕捕获和系统操纵以窃取数据；

Orcus RAT 键盘记录器

XMRig：使用系统资源挖掘门罗币的加密货币矿工。在大量资源使用期间停止挖矿，例如当受害者正在玩游戏时，以避免被发现；

XMRig 3代理 PureCrypter 防病毒软件 停止