Vorsicht: Gecracktes Microsoft Office liefert Malware-Cocktail aus

Sicherheitsforschern ist die Entdeckung einer Gruppe gelungen, die im großen Stil über Torrent-Seiten manipulierte Microsoft Office-Pakete verteilt. Unbedarfte Nutzer holen sich aber statt Word, Excel und Co Schadsoftware der verschiedensten Art auf ihren Rechner.
Sicherheitslücke, Hacker, Security, Malware, Angriff, Hack, Kriminalität, Virus, Schadsoftware, Cybersecurity, Exploit, Cybercrime, Hacking, Hackerangriff, Internetkriminalität, Sicherheitslücken, Darknet, Sicherheitsupdate, Hacker Angriff, Hacker Angriffe, Hacken, Attack, Hacks, Cyberangriff, Kurs, Crime, Russische Hacker, anti-malware, Risiko, Cyberwar, China Hacker, Sicherheitsrisiko, Malware Warnung, Totenkopf, Sicherheitsproblem, Cyberattacke, tot, Dead, Malware Found, Hazard, Skull

Trojaner, Proxy-Tools und Crypto-Miner

Die Gruppe verbreitet dabei einen Malware-Cocktail, der unter anderem Remote-Access-Trojaner (RAT), Crypto-Miner, Malware-Downloader, Proxy-Tools und Anti-AV-Programme umfasst. Das meldet das AhnLab Security Intelligence Center (ASEC) aus Korea. Die Sicherheitsforscher haben die aktuell laufende Kampagne identifiziert und warnen nun vor den Risiken des Herunterladens von "raubkopierter" Software.

Die koreanischen Forscher fanden heraus, dass die Angreifer verschiedene Köder benutzen, um ihr Malwarepaket unter die Leute zu bringen. Darunter ist Microsoft Office, Windows und der in Korea beliebte Hangul Word Processor.
MS Office Malware-PaketSchema des Verteilungswegs MS Office Malware-PaketNachgebautes Installationsprogramm

Statt Microsoft Office gibts Malware

Für Nutzer sind die manipulierten Versionen dabei recht schwer erkennbar. Das angebotene Microsoft Office-Installationsprogramm zum Beispiel verfügt über eine gut gestaltete Benutzeroberfläche, über die der Benutzer die zu installierende Version, die Sprache und die 32- oder 64-Bit-Variante auswählen kann.

Einfache Täuschung

Im Hintergrund startet das Installations­programm jedoch eine verschleierte .NET-Malware, die einen Telegram- oder Mastodon-Kanal kontaktiert, um eine gültige Download-URL zu erhalten, von der sie dann zusätzliche Komponenten abruft. Dieses Vorgehen wiederum ist hilfreich, um Antiviren­programme zu täuschen.

Die URL verweist auf Google Drive oder GitHub, beides legitime Dienste, bei denen es unwahrscheinlich ist, dass sie AV-Warnungen auslösen.


Nutzer sollten generell bei der Installation von Dateien, die von dubiosen Quellen heruntergeladen wurden, vorsichtig sein.

Da "gecrackte" Software-Versionen zudem nicht digital signiert sind und die Nutzer bereit sind, Antivirenwarnungen zu ignorieren, wenn sie sie ausführen, werden sie häufig verwendet, um Systeme mit Malware zu infizieren. In diesem Fall bekommt man sogar ein ganzes Malwarepaket.

Zusammenfassung
  • Forscher entdeckten manipulierte Office-Pakete auf Torrent-Seiten
  • Nutzer laden statt Office-Programme Schadsoftware herunter
  • Malware enthält RATs, Miner, Downloader, Proxy-Tools und Anti-AV-Programme
  • Angreifer nutzen Office, Windows und Hangul Word Processor als Köder
  • Manipulierte Versionen sind schwer erkennbar und wirken authentisch
  • Installationsprogramm lädt .NET-Malware im Hintergrund
  • Malware bezieht zusätzliche Komponenten über legitime Dienste

Siehe auch:
Thema:
Viren & Trojaner
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Neueste Downloads
Mehr Downloads
Beliebt im Preisvergleich
Antivirus Preisvergleich
Neue Nachrichten
Themenübersicht
Beliebte Nachrichten
Videos
  • Neueste
  • Beliebte
  • Empfehlung
Mehr Videos
Tipp einsenden
Hinweise zum Einsenden von Tipps
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!