黑客利用盗版Microsoft Office散播恶意软件

关键要点

• 盗版Microsoft Office的持续攻击正在进行中，威胁行为者利用这些软件传播包括远程访问木马、恶意软件加载器和加密货币挖矿工具在内的恶意软件组合。
• 攻击者引诱用户从种子网站下载破解软件的安装程序，一旦打开，该程序便会在后台部署.NET恶意软件，并从URL下载额外组件。
• 该恶意软件不仅部署Orcus RAT进行数据窃取，还发起PureCrypter加载器、XMRig加密货币挖矿工具、3Proxy恶意流量路由工具以及AntiAV软件以禁用安全系统。
• 用户应避免使用盗版软件，并对下载文件的来源保持警惕。

最近， 报道称，威胁行为者正在利用盗版MicrosoftOffice进行持续入侵，并传播一种包括远程访问木马（RAT）、恶意软件加载器和加密货币挖矿程序的恶意软件组合。

根据AhnLab Security IntelligenceCenter的报告，这些攻击通过诱导目标用户从种子网站下载破解软件的安装程序来实现。一旦用户打开该安装程序，它将在后台部署.NET恶意软件，试图从特定URL下载额外的组件。

除了使用Orcus RAT恶意软件进行数据窃取外，该恶意软件还会启动PureCrypter加载器以获取和执行进一步的有效负载。这些有效负载包括

加密货币挖矿工具（用于Monero挖矿）、3Proxy工具（用于恶意流量路由）以及AntiAV软件（用于禁用安全系统）。研究人员指出，这些有效负载的持续性由“Updater”模块确保。

这样的发展提醒用户避免使用盗版软件，并在下载文件时更加警惕文件的来源。