AhnLab 安全情报中心今天发布示警博文，欧易交易所表示有黑客伪装成微软 Office 破解器，来分发包括远程访问木马（RAT）、加密货币挖掘机、恶意软件下载器等恶意软件。

博文指出攻击者精心设计了 Office 破解工具的界面，用户可以选择要安装的版本、语言以及使用 32 位还是 64 位变体。

不过该破解工具后台会启动混淆的 .NET 恶意软件，该恶意软件会访问 Telegram 或 Mastodon 频道，欧意交易所app官方下载接收一个有效的 URL，并从该 URL 获取其他组件。

URL 指向 Google Drive 或 GitHub，这些平台上托管的 base64 有效载荷包含 PowerShell 命令，使用 7Zip 解压缩后可将一系列恶意软件引入系统。

据 ASEC 称，数字货币交易平台被入侵系统上的恶意软件会安装各种类型的恶意软件，IT之家附上内容如下：

Orcus RAT：实现全面远程控制，包括键盘记录、网络摄像头访问、屏幕捕获和系统操作，以实现数据外渗。

XMRig：使用系统资源挖掘 Monero 的加密货币矿机，它会在受害者玩游戏等资源使用率较高时停止挖矿，以避免被发现。

3Proxy：通过打开 3306 端口将受感染系统转换为代理服务器，并将其注入合法进程，允许攻击者路由恶意流量。

PureCrypter：下载并执行来自外部的额外恶意有效载荷，确保系统持续感染最新威胁。

AntiAV：通过修改安全软件的配置文件来破坏和禁用安全软件，使软件无法正常运行，并使系统容易受到其他组件操作的影响。

本文转载自IT之家，转载目的在于传递更多信息，并不代表本站赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题，请联系IT之家通知我方删除，我方将在收到通知后第一时间删除内容！本文只提供参考并不构成任何投资及应用建议。本站拥有对此声明的最终解释权。 (责任编辑：)