AhnLabは5月30日、「Distribution of Malware Under the Guise of MS Office Cracked Versions (XMRig, OrcusRAT, etc.) - ASEC BLOG」において、海賊版Microsoft Officeを介して複数のマルウェアが配布されているとして、注意を喚起した。この海賊版Microsoft Officeはファイル共有サービスやtorrentから配布されたとみられている。

  • Distribution of Malware Under the Guise of MS Office Cracked Versions (XMRig、OrcusRAT、etc.) - ASEC BLOG

    Distribution of Malware Under the Guise of MS Office Cracked Versions (XMRig, OrcusRAT, etc.) - ASEC BLOG

侵害経路

AhnLabが確認した悪意のある海賊版Microsoft Officeは、インストールを開始するとバックグラウンドで難読化された.NETプログラムを実行する。この.NETプログラムはTelegramからペイロードのダウンロードURLを取得し、指定されたGoogleドライブまたはGitHubから暗号化されたPowerShellスクリプトをダウンロードして実行する。

  • 海賊版Microsoft Officeのインストール画面 - 引用:AhnLab

    海賊版Microsoft Officeのインストール画面 引用:AhnLab

PowerShellスクリプトは7ZIPで圧縮されたマルウェアローダー「software_reporter_tool.exe」をダウンロード、展開、実行する。このマルウェアローダーにはマルウェアのダウンロードの他に永続性を確保する機能があり、ローダーの更新機能などを持つPowerShellスクリプトをタスクに登録する。

  • 侵害経路 - 引用:AhnLab

    侵害経路 引用:AhnLab

AhnLabによると、最終的にインストールされるマルウェアは遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)の「Orcus RAT」、マイニングマルウェア「XMRig」、プロキシサーバー「3Proxy」、マルウェアローダー「PureCrypter」、セキュリティ妨害マルウェア「AntiAV」などとされる。

影響と対策

この攻撃ではマルウェアの検出を回避するために毎週新しいマルウェアが配布されており、永続化タスクが存在する場合、マルウェアは自動的に更新されるという。そのため、マルウェアを検出して削除しても定期的にマルウェアが復活するとみられる。

AhnLabはこのような攻撃を回避するため、海賊版ソフトウェアを使用しないことを推奨している。なお、すでに感染が疑われる場合は不審なタスクが存在しないことを確認し、不審なタスクがあったらマルウェアと共に削除する必要がある。