2min

Bitdefender waarschuwt dat sommige gekraakte versies van Microsoft Office en Adobe Photoshop uitgerust zijn met malware. Deze steelt onder andere browser sessie cookies en neemt Monero cryptocurrency portefeuilles over.

Gekraakte software werd vroeger vaak via torrent clients gedownload, maar is nog steeds populair. Het gaat om een echte versie van het programma, waarvan de registratie- of licentiefeature is verwijderd. Hierdoor werkt het programma ook zonder licentie of nadat een proefperiode is verlopen.

Krachtige backdoor

De malware in de gekraakte versies van Office en Photoshop opent een backdoor op het apparaat waarop het is geïnstalleerd. Hierop schakelt de crack de firewall uit, zodat deze ongemerkt gegevens kan versturen. Bogdan Botezatu van Bitdefender legt in een blogpost uit dat de crack een TOR-proxy en ncat.exe inzet om de backdoor te creëren. Ncat.exe is overigens een legitieme applicatie voor het verzenden van data over het netwerk. Dit programma gebruikt de luisterpoort van de TOR proxy (‘–proxy 127.0.0.1:9075’) in combinatie met de standaard ‘–exec’ parameter. Dit zorgt ervoor dat alle input van de client naar de applicatie kan worden gestuurd. Reacties hierop kunnen terug naar de client worden verzonden via de socket, aldus de onderzoekers van Bitdefender.

Volgens Botezatu nemen de aanvallers behoorlijk wat tijd om de geïnfiltreerde omgeving te analyseren voordat ze besluiten welke gegevens ze waardevol vinden. In het geval van een Firefox-gebruiker stalen de aanvallers de hele profielgeschiedenis. Bitdefender onderzoekers gaan er echter vanuit dat dit eerder opportunistisch was en geen gerichte aanval.

Cracks gebruikelijk

ESET Cybersecurity consultant, Jake Moore, geeft aan dat hoewel gekraakte software illegaal is, het desondanks nog steeds vrij normaal is om deze op de thuis- of werkcomputer te gebruiken. De kans is groot dat gebruikers niet doorhebben dat de desbetreffend malware op hun computer draait. Het is vrij gangbaar dat cracks antivirusprogramma’s triggeren, maar meldingen worden doorgaans genegeerd.

Tip: Nieuwe Android-spyware lijkt op ‘system update’