韩国研究人员发现，有人恶意使用盗版和破解的合法生产力和办公实用程序（如 Hangul Word Processor 和 Microsoft Office）的激活程序来伪装恶意程序。

该恶意软件通过在受影响的系统上安排定期升级来保持持久性，导致每周多次持续安装新版本的恶意软件。

Microsoft Office 和其他程序的恶意盗版副本
AhnLab 的研究人员发现，攻击者一直在创建和分发流行实用软件的恶意副本。这些副本通过常见的文件共享平台和种子网站分发。该行动利用了用户希望获得免费软件副本而无需支付所需许可费的心理。

下载并执行时，这些程序通常会显示为令人信服的破解安装程序或Microsoft Office或 Hangul 文字处理器等程序的激活程序。虽然最初的下载程序是在 .NET 中开发的，但攻击者似乎已转向更模糊的攻击技术。

该恶意软件从攻击者运营的 Telegram 或 Mastodon 频道检索下一阶段攻击的指令。这些频道包含加密的 Base64 字符串，可引导至托管恶意负载的 Google Drive 或 GitHub URL。

这些恶意负载是通过使用合法的 7-zip 存档实用程序下载和解密的，该实用程序通常存在于系统中，并且占用空间很小。研究人员发现，解密的负载包含 PowerShell 指令，用于在受害者的系统上加载和执行其他恶意软件组件。

受感染系统上加载的恶意软件包括：

OrcusRAT：一种远程访问木马，具有键盘记录、网络摄像头访问和远程屏幕控制等广泛功能。
XMRig Cryptominer：配置为在资源密集型应用程序运行时停止挖掘以避免被发现。还会杀死竞争矿工和安全产品。
3Proxy：将自身注入合法进程以打开后门代理服务器。
PureCrypter：从攻击者控制的服务器获取并运行其他恶意负载。
AntiAV：通过反复修改配置文件来破坏安全产品。

这些命令包括一个更新程序，其中包含通过使用 Windows 操作系统上现有的本机 Windows 任务计划程序来维持系统持久性的指令。研究人员共享的 C&C 服务器地址也表明它们已被伪装成 minecraft rpg 服务器。

持续再感染和传播
研究人员表示，由于恶意软件能够自我更新以及下载额外的恶意软件负载，即使在初始感染被清除后，系统仍可能受到感染。他们表示，攻击者每周多次向受影响的系统分发新的恶意软件，以绕过文件检测。

研究人员表示，尽管之前的基础恶意软件已被删除，但注册的任务调度程序条目仍在受影响的系统上加载了额外的恶意组件，因此在这些攻击中受到感染的系统数量持续增加。

研究人员建议韩国用户从官方渠道下载软件和程序，而不是从文件共享网站下载。怀疑自己的系统可能已被感染的用户应删除相关的任务计划程序条目，以阻止下载其他恶意软件组件，并将防病毒软件更新到最新版本。

研究人员还分享了攻击指标、在攻击中检测到的标记类别、攻击中使用的文件的 MD5 哈希值、相关的 C＆C 服务器地址以及在攻击期间观察到的可疑行为。

文章原文链接:https://www.anquanke.com/post/id/297007