31 Мая 2024 13:17 31 Мая 2024 13:17 |

Поделиться

Россияне в большой опасности из-за любви к пиратскому ПО. Хакеры нашпиговали взломанные Windows и MS Office опасными вредоносами

Ворованному Office в установочный пакет не смотрят

Киберпреступники превратили установочные архивы пакета офисных программ Microsoft Office в коктейль из вирусов и троянов, пишет профильный портал Bleeping Computer. Распространяя взломанные, то есть бесплатные версии столь популярной утилиты, они тайно встраивают в них опасное вредоносное ПО, которое затем портит жизнь пользователю, не желающему платить корпорации Microsoft за ее софт.

По данным экспертов портала, внутри архивов с нелицензионным Microsoft Office, которые распространяются посредством торрентов, может быть все, что угодно – это своего рода «беспроигрышная» лотерея. Кто-то, скачав дистрибутив и распаковав его, внедрит в свой ПК троян, открывающий мошенникам доступ к содержимому компьютера, а кто-то запустит троян-майнер, который будет пожирать системные ресурсы и обогащать злоумышленников.

Но на деле это лишь часть того, что может ждать ценителей псевдобесплатного программного обеспечения. Как указано в отчете аналитический центра безопасности AhnLab (AhnLab Security Intelligence Center, ASEC), установив взломанный Microsoft Office, можно подцепить фонового загрузчика вредоносных программ, и в этом случае совершенно нельзя предугадать, что именно он скачает и развернет на компьютере. Это может быть все, что угодно, вплоть до вирусов-шифровальщиков.

Проблема особенно актуальна для россиян. В России среди обычных пользователей не принято платить за софт, а после первых санкций и ухода Microsoft любовь граждан страны к пиратским Office и Windows выросла в разы.

Не Office единым

Злоумышленники, мечтающие подсунуть пользователю вирус или троян, используют в данном случае несколько приманок. Помимо Office, они также шпигуют вредоносными ПО дистрибутивы со взломанной Windows, что, вне всякого сомнения, увеличивает их шансы на успех. Связано это с тем, что альтернатив у Windows ввиду ее универсальности, несмотря на гигантское количество Linux-дистрибутивов, не так уж много – именно по этой причине она установлена на 73,5% ПК и ноутбуков в мире и на 86,4% в России (StatCounter, апрель 2024 г.).

Заменить утилиты Office альтернативными решениями намного проще нежели целую операционную систему, и хакеры это тоже понимают. Например, в Южной Корее Microsoft Word популярностью не пользуется – местные жители отдают предпочтение текстовому редактору Hangul. В его дистрибутивы киберпреступники тоже встраивают опасное ПО.

Как все работает

Взломанные версии Office и Windows привлекают внимание пользователей не только тем, что за их использование не нужно платить деньги. Как правило, такие дистрибутивы снабжены очень развитым меню установки, в котором пользователь может выбирать нужную ему редакцию программы, язык интерфейса, а также выбирать битность и дополнительные настройки (в случае Windows) и отключать ненужные ему компоненты (в случае Office).

Как пишет Bleeping Computer, именно на этом этапе и происходит «магия», Установщик запускает вредоносное ПО: например, это может быть утилита для скачивания дополнительных опасных программ, которая переходит в секретный канал в Telegram или Mastodon с актуальной ссылкой для прямого скачивания вредоноса или дополнительных его компонентов.

Эта ссылка ведет, как правило, в облако Google Drive или прямиком в GitHub – принадлежащий самой Microsoft сервис хранения репозиториев с программным обеспечением. Оба сервиса легитимны и очень популярны, так что переход по ним, даже в фоновом режиме, едва ли вызовет подозрения у антивируса. Дополнительно хакеры прописывают скачивание необходимых компонентов в планировщик задач – это гарантирует, что они всегда будут на компьютере, даже если владелец обнаружит их у удалит.

Гремучий коктейль

По данным ASEC, в взломанную систему с помощью вредоносного ПО устанавливаются самые разные варианты вредоносного ПО. Например, это может быть утилита Orcus RAT, которая обеспечивает хакерам возможность комплексного удаленного управления ПК жертвы, включая ведение журнала ввода с клавиатуры, доступ к веб-камере, захват экрана и манипулирование системой для кражи данных.

Также в систему может быть подгружен майнер криптовалюты XMRig, использующий системные ресурсы для добычи токена Monero. Он останавливает майнинг во время интенсивного использования ресурсов компьютера, например, когда владелец ПК играет в видеоигры, чтобы избежать обнаружения.

В список также входит программа 3Proxy. Она преобразует зараженные системы в прокси-серверы, открывая порт 3306 и внедряя их в законные процессы, позволяя злоумышленникам маршрутизировать вредоносный трафик.

Утилита PureCrypter, которая тоже может пробраться на ПК, загружает и выполняет дополнительные вредоносные файлы из внешних источников, гарантируя, что система останется зараженной новейшими угрозами. Наконец, программа AntiAV нарушает работу антивируса, если таковой имеется на ПК, а иногда и вовсе отключает его.

Даже если пользователь обнаружит и удалит любую из вышеперечисленных программ, модуль «Обновление», который запускается при каждом старте системы благодаря планировщику задач, повторно скачает ее.

Как защититься

Самый простой способ защититься от этих уловок хакеров – скачивать дистрибутивы исключительно с сайта разработчика, в данном случае Microsoft. Россиянам она это запрещает, так что потребуются дополнительные манипуляции с IP-адресом.

Другой вариант – переход на свободное ПО – любой из популярных Linux-дистрибутивов и офисный пакет, например, Linux Mint и Libre Office.

Отдельно для жителей России есть вариант отказа от софта Microsoft в пользу российских решений. Отечественные заменители есть как у Windows, так и у Office, к тому же их выбор достаточно широк.

Также можно установить на ПК брандмауэр и запретить доступ в интернет всем программам, кроме избранных.

Александр Буравцов, директор по информационной безопасности «МойОфис», сообщил CNews: «Проблема распространения вредоносных программ через нелицензионные копии программного обеспечения существует давно и актуальна для российского ИТ-рынка. С момента становления отечественной индустрии многие пользователи предпочитают обращаться к пиратским ресурсам для доступа к программам и контенту, такому как музыка, видео, игры и другим. За последнее время разработчики программного обеспечения и распространители лицензионного контента провели колоссальную работу, чтобы научить россиян приобретать лицензионный контент (ПО), решая таким образом проблему вознаграждения правообладателей и прививая пользователям правильные навыки цифровой гигиены. Теперь, когда доступ к программному обеспечению через удобный и недорогой сервис правообладателя стал проще, необходимость использования пиратских ресурсов уменьшается (хотя всегда найдутся те, кто принципиально предпочитает не платить за софт). Однако после 2022 г/ ситуация изменилась, и правообладатели перестали предоставлять своим пользователям возможность легко и эффективно обновлять используемое ПО, в том числе с точки зрения безопасности».

«У пользователей остается два варианта – либо переходить на альтернативное программное обеспечение, либо искать варианты для нелегитимного обновления существующего, – добавил Александр Буравцов. – На мой взгляд, наиболее верным решением будет первый вариант. В этом случае я бы выбрал проприетарное программное обеспечение от российских разработчиков, которые гарантируют поддержку своих продуктов и защиту от внезапного ухода с рынка, вместо программного обеспечения с открытым исходным кодом. У него, безусловно, есть своя большая база «фанатов», однако в последнее время всё чаще встречаются случаи, когда разработчики подобных продуктов либо меняют условия лицензирования, делая их неприемлемыми для определённых сфер применения, либо выпускают сильно ограниченные версии, требующие оплаты для доступа к основным функциям – причем в недружественных странах. Если идти по второму варианту, то нужно быть готовым к увеличению риска столкнуться с вредоносным ПО при использовании альтернативных методов обновления, отличных от предлагаемых официальным вендором (который заинтересован в соблюдении санкционного режима в отношении нашей страны)».

Геннадий Ефремов

Поделиться

Короткая ссылка