Illegale Microsoft Office is bron voor heel wat malware
Van illegale software weet je nooit helemaal zeker of die veilig is. Onderzoekers van het AhnLab Security Intelligence Center (ASEC) ontdekten dat illegale kopieën van Microsoft Office-pakketten niet alleen kantoortoepassingen bevatten, maar dikwijls ook een arsenaal aan malware. Met het onderzoek wijst ASEC nog maar eens op de risico’s die komen kijken bij illegaal gedownloade software.
Illegale Microsoft Office
De onderzoekers menen verder dat de malware niet alleen verspreid wordt met Microsoft Office-downloads. Ook wie illegale en gekraakte versies van het Windows-OS downloadt, zou zichzelf geen plezier doen. Verder blijkt ook de Hangul-tekstverwerker, die populair is in Zuid-Korea, een populair doelwit. Opvallend is dat je tijdens het installatieproces van de software eigenlijk niet door hebt dat er malware aan vast hangt. De installatietool ziet er namelijk best te vertrouwen uit, en laat je zelfs kiezen welke versie van Microsoft Office je wil installeren.
Er gebeurt echter meer dan je op het scherm kan zien. Terwijl gebruikers hun illegale versie van Office binnenhalen, stuurt de installatietool ook een berichtverzoek naar een Telegram- of Mastodon-account. Hier gaat de bal aan het rollen. Via die applicaties ontvangt je pc, zonder dat je daar iets van kan zien, een URL. Die URL verwijst door naar bestanden op Google Drive of GitHub: aangezien die platformen vertrouwd zijn, zien antivirusprogramma’s hier doorgaans geen graten in.
Malware-arsenaal
De installatietool downloadt die bestanden en pakt ze nadien uit met 7zip, weeral zonder dat je daar iets van merkt. Op die manier komt een PowerShell-script bloot te liggen, en dat introduceert op een later moment meerdere malwaretoepassingen in het systeem. Volgens ASEC gaat het om volgende pakketten:
- Orcus RAT: een remote acces trojan of RAT die ervoor zorgt dat criminelen je gegevens kunnen ontfutselen. Met de RAT kunnen cybercriminelen meekijken op de webcam, je toetsaanslagen registreren en het systeem overnemen.
- XMRig: een tool om de cryptomunt Monero te delven. Wanneer je systeem niet veel rekenkracht vereist, zal deze tool de rest inpalmen om geld te verdien voor de cybercriminelen. Begin je te gamen en heb je de rekenkracht zelf nodig? Dan stopt de activiteit, om detectie te voorkomen.
- 3Proxy: maakt een proxy van je pc, zodat cybercriminelen hun verkeer langs jou kunnen sturen. Begaan de criminelen illegale activiteiten, dan wijst het IP-adres naar jouw pc.
- PureCrypter: een malwaretool die ontworpen is om steeds de nieuwste malwaretoepassingen te downloaden en te installeren, zodat je systeem steeds geïnfecteerd blijft.
- AntiAV: een tool die het antivirusprogramma lam legt door aanpassingen te maken in de configuratiebestanden.
Moeilijk te verwijderen
Gebruikers kunnen de geïnfecteerde Office-pakketten proberen verwijderen, maar daar verwijderen ze de malware niet mee. Zelfs als je erin slaagt om de malware te verwijderen, blijft het probleem spelen. Elke keer als de pc opnieuw opgestart wordt, zet het systeem de malware namelijk terug.
Dit is bovendien niet de enige malware die op deze manier verspreid wordt. Illegale softwaredownloads zijn een geliefde manier voor cybercriminelen om malware te verspreiden. Wie gratis kantoortoepassingen nodig heeft, kijkt dan ook best in de richting van software die daadwerkelijk gratis is. Voor kantoorsoftware zijn LibreOffice en OpenOffice goede opties. Voor het besturingssysteem zijn er verschillende versie van Linux die gratis te installeren zijn.
