駭客竄改知名活化工具Office C2R Install投放木馬病毒與挖礦軟體
知名啟動工具Office 2013-2024 C2R Install 被駭客盯上,駭客篡改該啟動工具並附帶遠端木馬和挖礦模組。建議用戶下載啟動工具時提高警惕,網路上不少此類工具都攜帶病毒。有需要啟動的使用者可以嘗試Office Tool Plus 和HEU KMS 等工具。
Office 2013-2024 C2R Install 是個較知名的Microsoft Office 系列軟體安裝與啟用工具,支援快速下載Office 各個版本並使用KMS 等方式執行啟用。
啟動工具向來是惡意軟體的重災區,毫無意外Office C2R Install 也被駭客盯上,利用Office C2R Install 的知名度發布篡改版本投放木馬病毒。
![](https://i0.wp.com/static.cnbetacdn.com/article/2024/0601/9a8792a18927442.png?w=640&ssl=1)
網路安全公司AhnLab 日前就發現駭客分髮帶毒版的Office C2R Install 用來安裝木馬病毒、挖礦軟體和代理工具等。
這次駭客選擇的發布管道也比較有趣,僅限於Telegram 和Mastodon 平台,這兩個都是目前比較知名的社交網絡平台,黑客誘騙一些不太懂的初級用戶下載帶毒版Office C2R Install。
值得注意的是帶有毒版的Office C2R Install 需要連接谷歌雲端硬碟或GitHub 下載數據,下載的數據被證實為PowerShell 指令,最終負責安裝各類惡意軟體。
![](https://i0.wp.com/static.cnbetacdn.com/article/2024/0601/6c8a8f96bc0a060.png?w=640&ssl=1)
但由於網路連線問題國內用戶無法連接Google雲端硬碟以及連接GitHub 不是很順暢,因此這次國內用戶被感染的情況應該是比較少的。
駭客的目的也比較讓人迷惑,AhnLab 分析後發現駭客透過PowerShell 執行的指令會安裝多種不同功能的惡意模組,包括遠端木馬、XMR 門羅幣挖礦程式、反殺毒軟體程式和代理程式等。
其中遠端木馬具備多種功能,包括收集系統資訊、命令執行各種檔案/ 註冊表/ 進程、使用鍵盤記錄器記錄使用者的輸入、可以遠端呼叫攝影機進行監視、還可以透過HVNC 和RDP 監視螢幕操作等。
照理說這類攜帶挖礦軟體的惡意軟體都是為了求財而不是執行太複雜的攻擊,駭客安裝的遠端木馬具有監視功能,所以我們無法理解這駭客的最終目標到底是什麼。
最後也提醒各位謹慎從網上下載各類破解器和激活工具,關於Office 的激活工具有Office Tool Plus 和HEU KMS 等,這些軟體有自己的發布管道,Office C2R Install 網路上能搜到的版本太多難以確定哪些是安全的。