Namísto Microsoft Office jedovatý koktejl škodlivého kódu? Internetem se šíří nová hrozba

Jiří Palyza 05.06.2024

Kybernetičtí škůdci šíří směs škodlivého kódu prostřednictvím zmanipulované verze kancelářské sady Microsoft Office. Inzerují ji na sítích typu torrent. Po stažení se na zařízení oběti dostane mnoho typů škodlivého kódu.

Výzkumníci v oblasti počítačové bezpečnosti varují před nejnovějším způsobem agresivního šíření škodlivého kódu, který se jim podařilo objevit. Jde o alarmující metodu, kdy zločinecká skupina zneužívá torrentové webové stránky k šíření falešných sad Microsoft Office (ale i Windows). Místo očekávaných aplikací Word a Excel si důvěřivé oběti instalují nebezpečnou směs škodlivého kódu.

Na nejnovější hrozbu upozornili výzkumníci z organizace AhnLab Security Intelligence Centre (ASEC) a informují o obzvlášť nebezpečné kampani šíření škodlivého kódu: zahrnuje trojské koně, které se zneužívají pro vzdálený přístup k napadenému zařízení, dále obsahuje kód pro těžbu kryptoměn na hostitelském počítači, proxy nástroje pro maskování připojení ke vzdáleným řídícím serverům, až po programy, které jsou určené k obcházení antivirových programů.

Zrádné maskování: za příslibem stažení známé kancelářské sady se skrývá celá sbírka škodlivého kódu

Maskovaný instalační program MS Office, za kterým se skrývá malware — Malware je obtížné detekovat antivirovými programy. Takto vypadá rozhraní pro instalaci škodlivého kódu, které se tváří jako známá kancelářská sada Microsoftu.

Kyberzločinci, kteří stojí za šířením tohoto malwaru, používají sofistikovaný přístup a své škodlivé programy důmyslně maskují. Falešné instalační programy, v tomto případě pro Microsoft Office, se prezentují profesionálně vypadajícími uživatelskými rozhraními. Uživatel si může vybrat verzi, jazyk a architekturu systému přesně tak, jak by to očekával od legitimní instalace.

Pokud tomu oběť uvěří, místo balíku Office je na pozadí aktivní malware, který vychází z technologie .NET. Po svém spuštění kontaktuje vyhrazený kanál v komunikátoru Telegram nebo Mastodon, a poté odtud stahuje další škodlivé komponenty. Ty jsou často získávány prostřednictvím služeb, jako je Google Drive nebo GitHub. Tím se strůjcům útoku daří obcházet bezpečnostní software a nevzniká žádné podezření.

Mohlo by vás zajímat

Obří hrozba přímo v Google Play: kyberexperti varují až před 90 aplikacemi!

Bezpečnost

ASEC uživatelům důrazně doporučuje, aby si vždy pořizovali software z důvěryhodných zdrojů a nebrali stahování z různých alternativ, byť působících lákavým dojmem, na lehkou váhu. Obezřetní byste měli být zvlášť v případech, pokud antivirové programy vydávají varování.

Používání cracknutého softwaru bez digitálního podpisu a ignorování bezpečnostních varování antivirových ochran totiž otevírá dveře malwaru, což samozřejmě může mít destruktivní následky různého charakteru.

Zdroj: Bleeping Computer, ASEC