Хакеры распространяют Windows 10 с помощью торрентов, которые скрывают угонщиков криптовалюты в разделе EFI (Extensible Firmware Interface), чтобы избежать обнаружения.
раздел EFI представляет собой небольшой системный раздел, содержащий загрузчик и связанные с ним файлы, выполняемые перед запуском операционной системы. Это важно для систем на базе UEFI, которые заменяют устаревший BIOS.
Были атаки с использованием модифицированных разделов EFI для активации вредоносных программ вне контекста ОС и ее инструментов защиты, как в случае с Черный лотос. Однако пиратские ISO-образы Windows 10 обнаружен исследователями Dr.Web просто используйте EFI в качестве безопасного места для хранения компонентов машинки для стрижки.
Поскольку стандартные антивирусные инструменты обычно не сканируют раздел EFI, вредоносное ПО потенциально может обойти обнаружение вредоносного ПО.
В отчете Dr. Web поясняется, что вредоносные сборки Windows 10 скрывают в системном каталоге следующие приложения:
- WindowsInstalleriscsicli.exe (дроппер)
- WindowsInstallerrecovery.exe (инжектор)
- WindowsInstallerkd_08_5e78.dll (клипер)
Источник: BleepingComputer
Когда операционная система устанавливается с помощью ISO, создается запланированное задание для запуска дроппера с именем iscsicli.exe, который монтирует раздел EFI как диск «M:». После подключения дроппер копирует два других файла, recovery.exe и kd_08_5e78.dll, на диск C:.
Затем запускается Recovery.exe, который внедряет DLL-библиотеку вредоносного ПО clipper в легитимный системный процесс %WINDIR%System32Lsaiso.exe посредством очистки процесса.
После внедрения клипер проверит, существует ли файл C:WindowsINFscunown.inf или запущены ли какие-либо инструменты анализа, такие как Process Explorer, диспетчер задач, Process Monitor, ProcessHacker и т. д.
Если они будут обнаружены, клипер не будет подменять адреса криптовалютных кошельков, чтобы избежать обнаружения исследователями безопасности.
Как только клипер запущен, он будет отслеживать системный буфер обмена на наличие адресов криптовалютных кошельков. Если таковые обнаружены, они на лету заменяются адресами, находящимися под контролем злоумышленника.
Это позволяет злоумышленникам перенаправлять платежи на свои счета, что, по словам Dr. Web, принесло им криптовалюту на сумму не менее 19 000 долларов США. адреса кошельков исследователи смогли идентифицировать.
Эти адреса были извлечены из следующих ISO-образов Windows, размещенных на торрент-сайтах, но Dr. Web предупреждает, что их может быть больше:
- Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 от BoJlIIIebnik [RU, EN].исо
- Windows 10 Pro 22H2 19045.2913 x64 от BoJlIIIebnik [RU, EN].исо
Следует избегать загрузки пиратских ОС, потому что они могут быть опасны, поскольку те, кто создает неофициальные сборки, могут легко скрыть постоянное вредоносное ПО.
2023-06-13 21:16:30
1686699134
#Пиратские #ISOобразы #Windows #устанавливают #вредоносное #ПО #clipper #через #разделы #EFI
