Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Перечислены неофициальные сборки Windows 10, содержащие вирус для кражи криптовалюты

15/06/23

WinPirate (1)

Специалисты компании Dr.Web обнаружили стилер в нелицензионных сборках Windows 10, которые хакеры раздавали на одном из торрент-трекеров.

Вредоносное приложение под названием Trojan.Clipper.231 заменяет адреса криптовалютных кошельков получателя в буфере обмена на адреса мошенников, пишет Securitylab. По данным аналитиков Dr.Web, с помощью стилера хакерам удалось украсть почти $19 000 в криптовалюте.

Вредоносное ПО было обнаружено в конце мая 2023 года, когда один из клиентов компании Dr.Web сообщил о заражении своего компьютера стилером. Тогда угроза была удалена. Однако выяснилось, что ОС клиента была неофициальной сборкой, и троянские программы были в нее внедрены заранее. Дальнейшее расследование показало, что существует несколько таких заражённых сборок Windows:

  • Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso;
  • Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso;
  • Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso;
  • Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso;
  • Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso.

Все сборки были доступны для загрузки на одном из торрент-трекеров, но нельзя исключать, что хакеры используют и другие сайты для распространения зараженных образов системы.

Запуск стилера происходит поэтапно. На первом этапе через системный планировщик задач активируется вредоносная программа Trojan.MulDrop22.7578, которая выполняет следующие функции:

  • подключить системный EFI-раздел к диску M:;
  • скопировать на диск два других компонента трояна ( Trojan.MulDrop22.7578 и Trojan.Inject4.57873 );
  • удалить исходные троянские файлы с диска C:;
  • запустить Trojan.Inject4.57873 и отключить EFI-раздел.

Затем Trojan.Inject4.57873 с помощью техники Process Hollowing (подмена, опустошение процесса) внедряет Trojan.Clipper.231 в системный процесс «%WINDIR%\System32\Lsaiso.exe», после чего стилер начинает работать в контексте процесса.

После получения контроля Trojan.Clipper.231 следит за буфером обмена и заменяет скопированные адреса криптокошельков на адреса, заданные хакерами. При этом у стилера есть ряд ограничений:

  • Во-первых, он начинает замену адресов только при наличии системного файла «%WINDIR%\INF\scunown.inf»;
  • Во-вторых, троян проверяет активные процессы. Если он находит процессы некоторых приложений, опасных для него, то замена адресов криптокошельков не происходит.

По данным Dr.Web, с помощью стилера Trojan.Clipper.231 хакеры украли 0.73406362 BTC и 0.07964773 ETH, что составляет около $18 976.

Внедрение вредоносных программ в EFI-раздел компьютеров является довольно редким вектором атаки. Поэтому данный случай представляет большой интерес для специалистов по информационной безопасности. Компания Dr.Web советует пользователям загружать только оригинальные ISO-образы операционных систем и только с сайтов производителей.

Темы:криптовалютыУгрозы"Доктор Веб"Windows 10пиратское ПО
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...