據BleepingComputer消息，AhnLab 安全情報中心（ASEC）發現網絡攻擊者正利用資源網站上的盜版微軟 Office辦公軟件傳播多種惡意軟件。

這些惡意軟件包括遠程訪問木馬（RAT）、加密貨幣挖掘機、惡意軟件下載器、代理工具和反病毒程序。

破解版 Office 安裝程序具有精心設計的界面，用戶可以選擇要安裝的版本、語言。用戶一旦開始安裝，安裝程序就會在后臺啟動一個混淆的 .NET 惡意軟件，該惡意軟件會聯系 Telegram 或 Mastodon 頻道，以接收一個有效的下載 URL，并從該 URL 獲取其他組件。

惡意Office安裝程序界面（來源：ASEC）

由于URL 指向 Google Drive 或 GitHub，這兩種合法服務都不太可能觸發防病毒警告。這些平臺上托管的 base64 有效載荷包含 PowerShell 命令，使用 7Zip 解壓縮后可將一系列惡意軟件引入系統。

獲取和解壓縮惡意軟件的組件（來源：ASEC）

惡意軟件組件 "Updater "會在 Windows 任務計劃程序中注冊任務，以確保在系統重啟期間持續運行。據 ASEC 稱，惡意軟件會在被入侵系統上安裝以下類型的惡意軟件：

• Orcus RAT：實現全面遠程控制，包括鍵盤記錄、網絡攝像頭訪問、屏幕捕獲和系統操作，以實現數據外滲。
• XMRig：使用系統資源挖掘 Monero 的加密貨幣礦機，會在受害者玩游戲等資源使用率高的時候停止挖礦，以避免被發現。
• 3Proxy：通過打開 3306 端口將受感染系統轉換為代理服務器，并將其注入合法進程，允許攻擊者路由惡意流量。
• PureCrypter：下載并執行來自外部的額外惡意有效載荷，確保系統持續感染最新威脅。
• AntiAV：通過修改配置文件破壞和禁用安全軟件，阻止軟件正常運行。

即使用戶發現并刪除了上述惡意軟件，在系統啟動時執行的 "更新器 "模塊也會重新引入惡意軟件。

類似的活動也被用來推送 STOP 勒索軟件——一款針對消費者的活躍勒索軟件。

攻擊鏈（來源：ASEC）

由于這些文件沒有數字簽名，且用戶在運行這些文件時通常會忽略殺毒軟件的警告，因此它們經常被網絡攻擊者用來入侵系統。建議用戶在安裝從可疑來源下載的文件時應謹慎，一般應避免安裝盜版/破解軟件。