盗版Office软件“打包”多款恶意程序入侵用户系统

据BleepingComputer消息 ，打包AhnLab 安全情报中心（ASEC）发现网络攻击者正利用资源网站上的盗版多款盗版微软 Office办公软件传播多种恶意软件 。

这些恶意软件包括远程访问木马（RAT） 、软件入侵加密货币挖掘机、恶意恶意软件下载器  、程序代理工具和反病毒程序。用户

破解版 Office 安装程序具有精心设计的系统界面，用户可以选择要安装的打包版本、高防服务器语言。盗版多款用户一旦开始安装，软件入侵安装程序就会在后台启动一个混淆的恶意 .NET 恶意软件，该恶意软件会联系 Telegram 或 Mastodon 频道 ，程序以接收一个有效的用户下载 URL
 ，并从该 URL 获取其他组件。系统

恶意Office安装程序界面（来源
 ：ASEC）

由于URL 指向 Google Drive 或 GitHub
，打包这两种合法服务都不太可能触发防病毒警告。云计算这些平台上托管的 base64 有效载荷包含 PowerShell 命令 ，使用 7Zip 解压缩后可将一系列恶意软件引入系统 
。

获取和解压缩恶意软件的组件（来源 ：ASEC）

恶意软件组件 "Updater "会在 Windows 任务计划程序中注册任务，以确保在系统重启期间持续运行 。据 ASEC 称，恶意软件会在被入侵系统上安装以下类型的恶意软件 ：

Orcus RAT：实现全面远程控制，包括键盘记录 、香港云服务器网络摄像头访问 、屏幕捕获和系统操作 ，以实现数据外渗。XMRig ：使用系统资源挖掘 Monero 的加密货币矿机，会在受害者玩游戏等资源使用率高的时候停止挖矿，以避免被发现 。3Proxy：通过打开 3306 端口将受感染系统转换为代理服务器 ，并将其注入合法进程
，免费模板允许攻击者路由恶意流量 。PureCrypter ：下载并执行来自外部的额外恶意有效载荷，确保系统持续感染最新威胁。AntiAV ：通过修改配置文件破坏和禁用安全软件，阻止软件正常运行 。

即使用户发现并删除了上述恶意软件，在系统启动时执行的 "更新器 "模块也会重新引入恶意软件。

类似的亿华云活动也被用来推送 STOP 勒索软件——一款针对消费者的活跃勒索软件。

攻击链（来源：ASEC）

由于这些文件没有数字签名，且用户在运行这些文件时通常会忽略杀毒软件的警告，因此它们经常被网络攻击者用来入侵系统 。建议用户在安装从可疑来源下载的文件时应谨慎
 ，一般应避免安装盗版/破解软件。

源码下载