Rosyjskie pirackie kompilacje Windows 10 są zainfekowane trudnym do wykrycia trojanem, który umieszcza się w partycji EFI i pozwala cyberprzestępcom na kradzież kryptowalut z portfeli ofiar. Celem ataku są ewidentnie Rosjanie, a zagrożenie wykrył rosyjski Dr.Web.
Kompilacje Windows 10 są zainfekowane trojanem do kradzieży kryptowalut.
Partycja systemowa EFI (ESP) jest niezbędna w systemach UEFI do uruchamiania z dysku GPT (GUID Partition Table). UEFI i GPT to dwa postępy technologiczne, które zostały opracowane w celu zastąpienia przestarzałych standardów BIOS i MBR. Partycja EFI, zwykle znajdująca się na głównym dysku twardym systemu, zawiera bootloader systemu operacyjnego oraz obraz jądra. Znajdują się tam również podstawowe sterowniki urządzeń, które są używane przez oprogramowanie układowe UEFI podczas procesu rozruchu. Ponadto, na partycji EFI znajdują się inne narzędzia programowe niezbędne do poprawnego uruchomienia systemu operacyjnego i załadowania go do pamięci RAM.
Nie wiadomo kto stoi za stworzeniem trojana. Nie ma również doniesień, żeby infekcja była obecna w kompilacjach z innych regionów.
Partycja EFI to obecnie częsty obiekt ataków i to nie bez powodu. Zagrożenia, które wykorzystują partycję ESP, mogą ukrywać się przed oprogramowaniem antywirusowym. Świeżo odkryte zagrożenie typu "crypto stealer", również korzysta z tej samej metody, aby uniknąć wykrycia przez programy antywirusowe. Trojan.Clipper.231, zidentyfikowany przez rosyjskie oprogramowanie zabezpieczające Dr.Web, jest trojanem, który rozprzestrzenia się w nielegalnych wersjach systemu Windows 10 Pro (22H2) , dostępnych w sieci BitTorrent. Zagrożenie zostało wykryte przez Dr.Web pod koniec maja 2023 roku po skontaktowaniu się z klientem, a dalsze analizy potwierdziły obecność infekcji na komputerze z systemem Windows 10.
Infekcja, która składa się z trzech różnych komponentów, obejmuje złośliwe oprogramowanie zaprojektowane do kradzieży popularnych kryptowalut (Trojan.Clipper.231), trojana typu dropper (Trojan.MulDrop22.7578) oraz wstrzykiwacza kodu (Trojan.Inject4.57873), który służy do uruchamiania clippera. Te trzy elementy zostały zidentyfikowane w kilku niestandardowych kompilacjach ISO, które wyraźnie były skierowane do rosyjskojęzycznych użytkowników i posiadały nazwy plików, takie jak „Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso”.
Po zainstalowaniu na komputerze PC, kompilacja systemu Windows ma na celu uruchomienie droppera o nazwie "iscsicli.exe" za pomocą systemowego Harmonogramu zadań. Dropper jest odpowiedzialny za zamontowanie partycji EFI jako dysku „M:”, skopiowanie dwóch innych złośliwych komponentów na tej partycji, usunięcie oryginalnego trojana z dysku C: oraz uruchomienie wstrzykiwacza podczas odmontowywania partycji EFI. Następnie wstrzykiwacz przenosi kod clippera do procesu systemowego „lsaiso.exe”, w którym Trojan.Clipper.231 będzie działał. Clipper monitoruje schowek systemu Windows, sprawdzając, czy nie kopiowane są adresy portfeli kryptowalutowych przez użytkownika, a następnie podmienia je na adresy kontrolowane przez cyberprzestępców. Dodatkowo, clipper sprawdza aktywne procesy, aby uniknąć wykrycia przez popularne narzędzia analityczne, takie jak Process Explorer, Task Manager, Process Monitor i ProcessHacker.
Pokaż / Dodaj komentarze do: Kradną Rosjanom kryptowaluty. Pirackie kopie Windows 10 zawierają groźnego trojana