Ворованному Office в установочный пакет не смотрят
Киберпреступники превратили установочные архивы пакета офисных программ Microsoft Office в коктейль из вирусов и троянов, пишет профильный портал Bleeping Computer. Распространяя взломанные, то есть бесплатные версии столь популярной утилиты, они тайно встраивают в них опасное вредоносное ПО, которое затем портит жизнь пользователю, не желающему платить корпорации Microsoft за ее софт.
По данным экспертов портала, внутри архивов с нелицензионным Microsoft Office, которые распространяются посредством торрентов, может быть все, что угодно – это своего рода «беспроигрышная» лотерея. Кто-то, скачав дистрибутив и распаковав его, внедрит в свой ПК троян, открывающий мошенникам доступ к содержимому компьютера, а кто-то запустит троян-майнер, который будет пожирать системные ресурсы и обогащать злоумышленников.
Но на деле это лишь часть того, что может ждать ценителей псевдобесплатного программного обеспечения. Как указано в отчете аналитический центра безопасности AhnLab (AhnLab Security Intelligence Center, ASEC), установив взломанный Microsoft Office, можно подцепить фонового загрузчика вредоносных программ, и в этом случае совершенно нельзя предугадать, что именно он скачает и развернет на компьютере. Это может быть все, что угодно, вплоть до вирусов-шифровальщиков.
Проблема особенно актуальна для россиян. В России среди обычных пользователей не принято платить за софт, а после первых санкций и ухода Microsoft любовь граждан страны к пиратским Office и Windows выросла в разы.
Не Office единым
Злоумышленники, мечтающие подсунуть пользователю вирус или троян, используют в данном случае несколько приманок. Помимо Office, они также шпигуют вредоносными ПО дистрибутивы со взломанной Windows, что, вне всякого сомнения, увеличивает их шансы на успех. Связано это с тем, что альтернатив у Windows ввиду ее универсальности, несмотря на гигантское количество Linux-дистрибутивов, не так уж много – именно по этой причине она установлена на 73,5% ПК и ноутбуков в мире и на 86,4% в России (StatCounter, апрель 2024 г.).
Заменить утилиты Office альтернативными решениями намного проще нежели целую операционную систему, и хакеры это тоже понимают. Например, в Южной Корее Microsoft Word популярностью не пользуется – местные жители отдают предпочтение текстовому редактору Hangul. В его дистрибутивы киберпреступники тоже встраивают опасное ПО.
Как все работает
Взломанные версии Office и Windows привлекают внимание пользователей не только тем, что за их использование не нужно платить деньги. Как правило, такие дистрибутивы снабжены очень развитым меню установки, в котором пользователь может выбирать нужную ему редакцию программы, язык интерфейса, а также выбирать битность и дополнительные настройки (в случае Windows) и отключать ненужные ему компоненты (в случае Office).
Как пишет Bleeping Computer, именно на этом этапе и происходит «магия», Установщик запускает вредоносное ПО: например, это может быть утилита для скачивания дополнительных опасных программ, которая переходит в секретный канал в Telegram или Mastodon с актуальной ссылкой для прямого скачивания вредоноса или дополнительных его компонентов.
Эта ссылка ведет, как правило, в облако Google Drive или прямиком в GitHub – принадлежащий самой Microsoft сервис хранения репозиториев с программным обеспечением. Оба сервиса легитимны и очень популярны, так что переход по ним, даже в фоновом режиме, едва ли вызовет подозрения у антивируса. Дополнительно хакеры прописывают скачивание необходимых компонентов в планировщик задач – это гарантирует, что они всегда будут на компьютере, даже если владелец обнаружит их у удалит.
Гремучий коктейль
По данным ASEC, в взломанную систему с помощью вредоносного ПО устанавливаются самые разные варианты вредоносного ПО. Например, это может быть утилита Orcus RAT, которая обеспечивает хакерам возможность комплексного удаленного управления ПК жертвы, включая ведение журнала ввода с клавиатуры, доступ к веб-камере, захват экрана и манипулирование системой для кражи данных.
Также в систему может быть подгружен майнер криптовалюты XMRig, использующий системные ресурсы для добычи токена Monero. Он останавливает майнинг во время интенсивного использования ресурсов компьютера, например, когда владелец ПК играет в видеоигры, чтобы избежать обнаружения.
В список также входит программа 3Proxy. Она преобразует зараженные системы в прокси-серверы, открывая порт 3306 и внедряя их в законные процессы, позволяя злоумышленникам маршрутизировать вредоносный трафик.
Утилита PureCrypter, которая тоже может пробраться на ПК, загружает и выполняет дополнительные вредоносные файлы из внешних источников, гарантируя, что система останется зараженной новейшими угрозами. Наконец, программа AntiAV нарушает работу антивируса, если таковой имеется на ПК, а иногда и вовсе отключает его.
Даже если пользователь обнаружит и удалит любую из вышеперечисленных программ, модуль «Обновление», который запускается при каждом старте системы благодаря планировщику задач, повторно скачает ее.
Как защититься
Самый простой способ защититься от этих уловок хакеров – скачивать дистрибутивы исключительно с сайта разработчика, в данном случае Microsoft. Россиянам она это запрещает, так что потребуются дополнительные манипуляции с IP-адресом.
Другой вариант – переход на свободное ПО – любой из популярных Linux-дистрибутивов и офисный пакет, например, Linux Mint и Libre Office.
Отдельно для жителей России есть вариант отказа от софта Microsoft в пользу российских решений. Отечественные заменители есть как у Windows, так и у Office, к тому же их выбор достаточно широк.
Также можно установить на ПК брандмауэр и запретить доступ в интернет всем программам, кроме избранных.
Александр Буравцов, директор по информационной безопасности «МойОфис», сообщил CNews: «Проблема распространения вредоносных программ через нелицензионные копии программного обеспечения существует давно и актуальна для российского ИТ-рынка. С момента становления отечественной индустрии многие пользователи предпочитают обращаться к пиратским ресурсам для доступа к программам и контенту, такому как музыка, видео, игры и другим. За последнее время разработчики программного обеспечения и распространители лицензионного контента провели колоссальную работу, чтобы научить россиян приобретать лицензионный контент (ПО), решая таким образом проблему вознаграждения правообладателей и прививая пользователям правильные навыки цифровой гигиены. Теперь, когда доступ к программному обеспечению через удобный и недорогой сервис правообладателя стал проще, необходимость использования пиратских ресурсов уменьшается (хотя всегда найдутся те, кто принципиально предпочитает не платить за софт). Однако после 2022 г/ ситуация изменилась, и правообладатели перестали предоставлять своим пользователям возможность легко и эффективно обновлять используемое ПО, в том числе с точки зрения безопасности».
«У пользователей остается два варианта – либо переходить на альтернативное программное обеспечение, либо искать варианты для нелегитимного обновления существующего, – добавил Александр Буравцов. – На мой взгляд, наиболее верным решением будет первый вариант. В этом случае я бы выбрал проприетарное программное обеспечение от российских разработчиков, которые гарантируют поддержку своих продуктов и защиту от внезапного ухода с рынка, вместо программного обеспечения с открытым исходным кодом. У него, безусловно, есть своя большая база «фанатов», однако в последнее время всё чаще встречаются случаи, когда разработчики подобных продуктов либо меняют условия лицензирования, делая их неприемлемыми для определённых сфер применения, либо выпускают сильно ограниченные версии, требующие оплаты для доступа к основным функциям – причем в недружественных странах. Если идти по второму варианту, то нужно быть готовым к увеличению риска столкнуться с вредоносным ПО при использовании альтернативных методов обновления, отличных от предлагаемых официальным вендором (который заинтересован в соблюдении санкционного режима в отношении нашей страны)».
Поделиться