Предыдущая публикация
Россияне в большой опасности из-за любви к пиратскому ПО. Хакеры нашпиговали
взломанные Windows и MS Office опасными вредоносами
Взломанные версии Microsoft Office, распространяющиеся через торренты, могут содержать в себе неприятный сюрприз в виде скрытого вредоносного ПО. Хакеры пощады не знают – кому-то из пользователей может попасться относительно безопасный троян, а кому-то – вирус-шифровальщик. Россияне в зоне риска, поскольку лицензионный софт Microsoft в России не жалуют.Ворованному Office в установочный пакет не смотрят
Киберпреступники превратили установочные архивы пакета офисных программ Microsoft Office в коктейль из вирусов и троянов, пишет профильный портал Bleeping Computer. Распространяя взломанные, то есть бесплатные версии столь популярной утилиты, они тайно встраивают в них опасное вредоносное ПО, которое затем портит жизнь пользователю, не желающему платить корпорации Microsoft за ее софт.По данным экспертов портала, внутри архивов с нелицензионным Microsoft Office, которые распространяются посредством торрентов, может быть все, что угодно – это своего рода «беспроигрышная» лотерея. Кто-то, скачав дистрибутив и распаковав его, внедрит в свой ПК троян, открывающий мошенникам доступ к содержимому компьютера, а кто-то запустит троян-майнер, который будет пожирать системные ресурсы и обогащать злоумышленников.
Но на деле это лишь часть того, что может ждать ценителей псевдобесплатного программного обеспечения. Как указано в отчете аналитический центра безопасности AhnLab (AhnLab Security Intelligence Center, ASEC), установив взломанный Microsoft Office, можно подцепить фонового загрузчика вредоносных программ, и в этом случае совершенно нельзя предугадать, что именно он скачает и развернет на компьютере. Это может быть все, что угодно, вплоть до вирусов-шифровальщиков.
Хакеры увидели в любителях пиратского ПО потенциальных жертв
Проблема особенно актуальна для россиян. В России среди обычных пользователей не принято платить за софт, а после первых санкций и ухода Microsoft любовь граждан страны к пиратским Office и Windows выросла в разы.
Заменить утилиты Office альтернативными решениями намного проще нежели целую операционную систему, и хакеры это тоже понимают. Например, в Южной Корее Microsoft Word популярностью не пользуется – местные жители отдают предпочтение текстовому редактору Hangul. В его дистрибутивы киберпреступники тоже встраивают опасное ПО.
Как пишет Bleeping Computer, именно на этом этапе и происходит «магия», Установщик запускает вредоносное ПО: например, это может быть утилита для скачивания дополнительных опасных программ, которая переходит в секретный канал в Telegram или Mastodon с актуальной ссылкой для прямого скачивания вредоноса или дополнительных его компонентов.
Эта ссылка ведет, как правило, в облако Google Drive или прямиком в GitHub – принадлежащий самой Microsoft сервис хранения репозиториев с программным обеспечением. Оба сервиса легитимны и очень популярны, так что переход по ним, даже в фоновом режиме, едва ли вызовет подозрения у антивируса. Дополнительно хакеры прописывают скачивание необходимых компонентов в планировщик задач – это гарантирует, что они всегда будут на компьютере, даже если владелец обнаружит их у удалит.
Также в систему может быть подгружен майнер криптовалюты XMRig, использующий системные ресурсы для добычи токена Monero. Он останавливает майнинг во время интенсивного использования ресурсов компьютера, например, когда владелец ПК играет в видеоигры, чтобы избежать обнаружения.
В список также входит программа 3Proxy. Она преобразует зараженные системы в прокси-серверы, открывая порт 3306 и внедряя их в законные процессы, позволяя злоумышленникам маршрутизировать вредоносный трафик.
Утилита PureCrypter, которая тоже может пробраться на ПК, загружает и выполняет дополнительные вредоносные файлы из внешних источников, гарантируя, что система останется зараженной новейшими угрозами. Наконец, программа AntiAV нарушает работу антивируса, если таковой имеется на ПК, а иногда и вовсе отключает его.
Даже если пользователь обнаружит и удалит любую из вышеперечисленных программ, модуль «Обновление», который запускается при каждом старте системы благодаря планировщику задач, повторно скачает ее.
Другой вариант – переход на свободное ПО – любой из популярных Linux-дистрибутивов и офисный пакет, например, Linux Mint и Libre Office.
Отдельно для жителей России есть вариант отказа от софта Microsoft в пользу российских решений. Отечественные заменители есть как у Windows, так и у Office, к тому же их выбор достаточно широк.
Также можно установить на ПК брандмауэр и запретить доступ в интернет всем программам, кроме избранных.
Источник
Не Office единым
Злоумышленники, мечтающие подсунуть пользователю вирус или троян, используют в данном случае несколько приманок. Помимо Office, они также шпигуют вредоносными ПО дистрибутивы со взломанной Windows, что, вне всякого сомнения, увеличивает их шансы на успех. Связано это с тем, что альтернатив у Windows ввиду ее универсальности, несмотря на гигантское количество Linux-дистрибутивов, не так уж много – именно по этой причине она установлена на 73,5% ПК и ноутбуков в мире и на 86,4% в России (StatCounter, апрель 2024 г.).Заменить утилиты Office альтернативными решениями намного проще нежели целую операционную систему, и хакеры это тоже понимают. Например, в Южной Корее Microsoft Word популярностью не пользуется – местные жители отдают предпочтение текстовому редактору Hangul. В его дистрибутивы киберпреступники тоже встраивают опасное ПО.
Как все работает
Взломанные версии Office и Windows привлекают внимание пользователей не только тем, что за их использование не нужно платить деньги. Как правило, такие дистрибутивы снабжены очень развитым меню установки, в котором пользователь может выбирать нужную ему редакцию программы, язык интерфейса, а также выбирать битность и дополнительные настройки (в случае Windows) и отключать ненужные ему компоненты (в случае Office).Как пишет Bleeping Computer, именно на этом этапе и происходит «магия», Установщик запускает вредоносное ПО: например, это может быть утилита для скачивания дополнительных опасных программ, которая переходит в секретный канал в Telegram или Mastodon с актуальной ссылкой для прямого скачивания вредоноса или дополнительных его компонентов.
Эта ссылка ведет, как правило, в облако Google Drive или прямиком в GitHub – принадлежащий самой Microsoft сервис хранения репозиториев с программным обеспечением. Оба сервиса легитимны и очень популярны, так что переход по ним, даже в фоновом режиме, едва ли вызовет подозрения у антивируса. Дополнительно хакеры прописывают скачивание необходимых компонентов в планировщик задач – это гарантирует, что они всегда будут на компьютере, даже если владелец обнаружит их у удалит.
Гремучий коктейль
По данным ASEC, в взломанную систему с помощью вредоносного ПО устанавливаются самые разные варианты вредоносного ПО. Например, это может быть утилита Orcus RAT, которая обеспечивает хакерам возможность комплексного удаленного управления ПК жертвы, включая ведение журнала ввода с клавиатуры, доступ к веб-камере, захват экрана и манипулирование системой для кражи данных.Также в систему может быть подгружен майнер криптовалюты XMRig, использующий системные ресурсы для добычи токена Monero. Он останавливает майнинг во время интенсивного использования ресурсов компьютера, например, когда владелец ПК играет в видеоигры, чтобы избежать обнаружения.
В список также входит программа 3Proxy. Она преобразует зараженные системы в прокси-серверы, открывая порт 3306 и внедряя их в законные процессы, позволяя злоумышленникам маршрутизировать вредоносный трафик.
Утилита PureCrypter, которая тоже может пробраться на ПК, загружает и выполняет дополнительные вредоносные файлы из внешних источников, гарантируя, что система останется зараженной новейшими угрозами. Наконец, программа AntiAV нарушает работу антивируса, если таковой имеется на ПК, а иногда и вовсе отключает его.
Даже если пользователь обнаружит и удалит любую из вышеперечисленных программ, модуль «Обновление», который запускается при каждом старте системы благодаря планировщику задач, повторно скачает ее.
Как защититься
Самый простой способ защититься от этих уловок хакеров – скачивать дистрибутивы исключительно с сайта разработчика, в данном случае Microsoft. Россиянам она это запрещает, так что потребуются дополнительные манипуляции с IP-адресом.Другой вариант – переход на свободное ПО – любой из популярных Linux-дистрибутивов и офисный пакет, например, Linux Mint и Libre Office.
Отдельно для жителей России есть вариант отказа от софта Microsoft в пользу российских решений. Отечественные заменители есть как у Windows, так и у Office, к тому же их выбор достаточно широк.
Также можно установить на ПК брандмауэр и запретить доступ в интернет всем программам, кроме избранных.
Источник
Следующая публикация
Нет комментариев