海賊版Microsoft Officeから複数のマルウェア、削除しても自動で復活
AhnLabは5月30日、「Distribution of Malware Under the Guise of MS Office Cracked Versions (XMRig, OrcusRAT, etc.) - ASEC BLOG」において、海賊版Microsoft Officeを介して複数のマルウェアが配布されているとして、注意を喚起した。この海賊版Microsoft Officeはファイル共有サービスやtorrentから配布されたとみられている。
○侵害経路
AhnLabが確認した悪意のある海賊版Microsoft Officeは、インストールを開始するとバックグラウンドで難読化された.NETプログラムを実行する。この.NETプログラムはTelegramからペイロードのダウンロードURLを取得し、指定されたGoogleドライブまたはGitHubから暗号化されたPowerShellスクリプトをダウンロードして実行する。
PowerShellスクリプトは7ZIPで圧縮されたマルウェアローダー「software_reporter_tool.exe」をダウンロード、展開、実行する。このマルウェアローダーにはマルウェアのダウンロードの他に永続性を確保する機能があり、ローダーの更新機能などを持つPowerShellスクリプトをタスクに登録する。
AhnLabによると、最終的にインストールされるマルウェアは遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)の「Orcus RAT」、マイニングマルウェア「XMRig」、プロキシサーバー「3Proxy」、マルウェアローダー「PureCrypter」、セキュリティ妨害マルウェア「AntiAV」などとされる。
○影響と対策
この攻撃ではマルウェアの検出を回避するために毎週新しいマルウェアが配布されており、永続化タスクが存在する場合、マルウェアは自動的に更新されるという。そのため、マルウェアを検出して削除しても定期的にマルウェアが復活するとみられる。
AhnLabはこのような攻撃を回避するため、海賊版ソフトウェアを使用しないことを推奨している。なお、すでに感染が疑われる場合は不審なタスクが存在しないことを確認し、不審なタスクがあったらマルウェアと共に削除する必要がある。
○侵害経路
AhnLabが確認した悪意のある海賊版Microsoft Officeは、インストールを開始するとバックグラウンドで難読化された.NETプログラムを実行する。この.NETプログラムはTelegramからペイロードのダウンロードURLを取得し、指定されたGoogleドライブまたはGitHubから暗号化されたPowerShellスクリプトをダウンロードして実行する。
PowerShellスクリプトは7ZIPで圧縮されたマルウェアローダー「software_reporter_tool.exe」をダウンロード、展開、実行する。このマルウェアローダーにはマルウェアのダウンロードの他に永続性を確保する機能があり、ローダーの更新機能などを持つPowerShellスクリプトをタスクに登録する。
AhnLabによると、最終的にインストールされるマルウェアは遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)の「Orcus RAT」、マイニングマルウェア「XMRig」、プロキシサーバー「3Proxy」、マルウェアローダー「PureCrypter」、セキュリティ妨害マルウェア「AntiAV」などとされる。
○影響と対策
この攻撃ではマルウェアの検出を回避するために毎週新しいマルウェアが配布されており、永続化タスクが存在する場合、マルウェアは自動的に更新されるという。そのため、マルウェアを検出して削除しても定期的にマルウェアが復活するとみられる。
AhnLabはこのような攻撃を回避するため、海賊版ソフトウェアを使用しないことを推奨している。なお、すでに感染が疑われる場合は不審なタスクが存在しないことを確認し、不審なタスクがあったらマルウェアと共に削除する必要がある。
