Software

Office e Photoshop CC, le copie pirata nascondono una backdoor molto pericolosa

Attenzione ad utilizzare software pirata! Com’è ben noto, utilizzare software pirata è una pratica scorretta e illegale che già normalmente può farvi incorrere in gravi conseguenza, tuttavia ora ci si mettono anche le backdoor nascoste in questo software a darvi una bella lezione.

Secondo quanto scoperto, alcune copie pirata di Office e Photoshop CC aprivano le porte agli aggressori informatici in grado di rubare dati personali, compromettere portafogli di criptovalute e la sicurezza dei PC colpiti.

Photo credit - depositphotos.com
hacker

A scoprire questo attacco informatico è stata Bitdefender, la quale ne ha discusso i dettagli. Alcune versioni crackate (piratate) di Microsoft Office e Adobe Photoshop CC disponibili dal 2018 avrebbero aperto delle backdoor nei PC dei furbetti che hanno deciso di scaricare illegalmente questi software, con conseguenze spiacevoli e a volte persino molto gravi.

L’obiettivo di questo attacco è quello di rubare dati personali e denaro (o criptovalute) agli sfortunati utenti caduti nella trappola. L’attacco sfrutta questi due famosi e ricercati software per compromettere PC, dirottare i portafogli di criptovalute e esfiltrare informazioni tramite la rete TOR.

Eduard Budaca e Bogdan Botezatu sono i due ricercatori della sicurezza di Bitdefender che hanno spiegato il funzionamento di questi attacchi. Una volta avviato il software piratato, viene creata sul sistema infetto un’istanza di ncat.exe, strumento legittimo per l’invio di file sulla rete, e un proxy TOR. I file in questione si trovano sul disco ai percorsi %syswow64%/nap.exe o %syswow64%/ndc.exe per il primo e come %syswow64/tarsrv.exe per il secondo

Una volta installati questi file, un file batch viene creato (%syswow64%/chknap.bat per nap.exe e %syswow64%/nddcf.cmd per ndc.exe) per convogliare le porte da 8000 a 9000 su un dominio .onion tramite Ncat.

Come sottolineano i colleghi di CyberSecurity360, il comportamento malevolo del software pirata crea meccanismi di persistenza per il file proxy TOR e il binario ncat sulla macchina con un servizio e un’attività pianificata che vengono eseguiti rispettivamente ogni 45 minuti. I ricercatori hanno suggerito come sia probabile che la backdoor venga utilizzata in modo interattivo da un operatore umano anziché inviare richieste automatizzate alle vittime.

Grazie a questa backdoor i malintenzionati possono tra le altre cose esfiltrare file tramite TOR, possono eseguire BitTorrent per l’invio dei dati, possono rubare i portafogli Monero tramite il client CLI legittimo monero-wallet-cli.exe, rubare i profili utente Firefox ed effettuare l’hijacking dei cookie delle sessioni di navigazione.

Un piccolo consiglio, dunque: se utilizzate questo tipo di software pirata è forse meglio eseguire un check sulla sicurezza del vostro PC che potrebbe persino infettare altri computer sulla vostra rete privata o aziendale.

Inoltre, consigliamo sempre di acquistare le licenze originali per questi importanti strumenti di lavoro. Una spesa che aiuta i produttori di questi software ad investire nel loro sviluppo e, come abbiamo visto in questo caso, per lo meno vi permette di dormire sonni tranquilli.

Le HyperX Predator sono delle RAM DDR4 da 16 GB (kit da 2×8 GB) dalla frequenza di 3200MHz CL16 e illuminazione RGB. Sono disponibili su Amazon a prezzo scontato.