Conviene sempre affidarsi alle copie originali di prodotti come Microsoft Office, perché dietro quel prodotto c’è lavoro, sicurezza e protezione da tutto, hacker compresi. Non si può dire lo stesso per le copie contraffatte, o altresì chiamate “craccate“: proprio queste ultime sarebbero in uso da parte degli hacker per distribuire un pericoloso cocktail di malware.
Malware dentro queste copie di Microsoft Office
La crescente disponibilità di software piratato su Internet ha spinto molti utenti a scaricare versioni craccate di programmi popolari come Microsoft Office. Tuttavia, questa pratica comporta gravi rischi per la sicurezza, come quello di oggi.
Riporta Bleeping Computer, questa nuova campagna di malware, identificata dall’agenzia di cybersecurity coreana AhnLab Security Intelligence Center (ASEC), rappresenta una minaccia significativa per chi scarica software piratato. Il malware distribuito include infatti elementi come:
- trojan di accesso remoto (RAT), che permettono all’hacker un controllo remoto completo del PC della vittima, inclusi keylogging, accesso alla webcam, cattura dello schermo e manipolazione del sistema per l’esfiltrazione dei dati;
- downloader di malware, che converte i sistemi infetti in server proxy per instradare traffico malevolo;
- strumenti proxy (CPureCrypter) che scaricano ed eseguono payload malevoli aggiuntivi, assicurando che il sistema rimanga infetto con le ultime minacce;
- programmi anti-AV (anti virus), che interrompono e disabilitano il software di sicurezza impedendogli di funzionare correttamente.
Come funziona questa campagna di malware
Bleeping Computer spiega nel dettaglio tutto il funzionamento di questa campagna. Ci si ritroverà davanti un’installatore craccato di Microsoft Office, con tanto di interfaccia ben realizzata e con la possibilità agli utenti di selezionare:
- la versione da installare,
- la lingua,
- le varianti a 32 o 64 bit.
Tuttavia, in background, l’installatore avvia un malware .NET che contatta un canale Telegram (o Mastodon) per ricevere un URL di download valido da cui scaricare ulteriori componenti, puntando poi a servizi legittimi come Google Drive o GitHub, meno suscettibili a innescare avvisi antivirus.
Anche se l’utente riuscisse comunque a scoprire e rimuovere uno qualsiasi dei malware sopra elencati, il modulo “Updater”, disposto dal programma all’avvio del sistema, reintrodurrà il malware, garantendo che l’infezione persista e che il sistema rimanga infetto e sotto il controllo degli hacker per un lungo periodo.
Cosa bisogna fare
Gli utenti devono essere estremamente cauti quando scaricano file da fonti non verificate e dovrebbero evitare l’uso di software piratato. Campagne simili sono state utilizzate in passato per diffondere ransomware come STOP, una delle operazioni di ransomware più attive ai danni dei consumatori.
Poiché questi file non sono firmati digitalmente, e gli utenti spesso ignorano gli avvisi antivirus durante la loro esecuzione, essi vengono frequentemente utilizzati per infettare i sistemi con malware.
Per proteggersi da queste minacce, è fondamentale:
- utilizzare solo software legittimo e aggiornato, dotato di licenza;
- mantenere attivi e aggiornati i software antivirus;
- bloccare potenziali minacce prima che possano causare danni significativi al sistema.
