В ряде неофициальных сборок Windows обнаружен стилер для кражи криптовалюты, который проникает в EFI-раздел

Компания «Доктор Веб» выявила троянскую программу-стилер в ряде неофициальных сборок ОС Windows 10, которые злоумышленники распространяли через один из торрент-трекеров. Получившее имя Trojan.Clipper.231, это вредоносное приложение подменяет адреса криптокошельков в буфере обмена на адреса, заданные мошенниками. На данный момент с его помощью злоумышленникам удалось похитить криптовалюту на сумму, эквивалентную порядка $19 000.



В конце мая 2023 года в компанию «Доктор Веб» обратился клиент с подозрением на заражение компьютера под управлением ОС Windows 10. Проведенный специалистами анализ подтвердил факт присутствия троянских программ в системе —стилера Trojan.Clipper.231, а также вредоносных приложений Trojan.MulDrop22.7578 и Trojan.Inject4.57873, осуществлявших его запуск. Вирусная лаборатория «Доктор Веб» успешно локализовала все эти угрозы и справилась с их обезвреживанием.

В то же время выяснилось, что целевая ОС являлась неофициальной сборкой, и вредоносные программы были встроены в нее изначально. Дальнейшее исследование позволило выявить несколько таких зараженных сборок Windows:

Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso
Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso

Все они были доступны для скачивания на одном из торрент-трекеров, однако нельзя исключать, что злоумышленники используют и другие сайты для распространения инфицированных образов системы.

Вредоносные программы в этих сборках расположены в системном каталоге:

\Windows\Installer\iscsicli.exe (Trojan.MulDrop22.7578)
\Windows\Installer\recovery.exe (Trojan.Inject4.57873)
\Windows\Installer\kd_08_5e78.dll (Trojan.Clipper.231)

Инициализация стилера происходит в несколько стадий. На первом этапе через системный планировщик задач запускается вредоносная программа Trojan.MulDrop22.7578:

%SystemDrive%\Windows\Installer\iscsicli.exe
Ее задача — смонтировать системный EFI-раздел на диск M:\, скопировать на него два других компонента, после чего удалить оригиналы троянских файлов с диска C:\, запустить Trojan.Inject4.57873 и размонтировать EFI-раздел.

В свою очередь, Trojan.Inject4.57873 с использованием техники Process Hollowing внедряет Trojan.Clipper.231 в системный процесс %WINDIR%\\System32\\Lsaiso.exe, после чего стилер начинает работать в его контексте.

Получив управление, Trojan.Clipper.231 приступает к отслеживанию буфера обмена и подменяет скопированные адреса криптокошельков на адреса, заданные злоумышленниками. При этом у него имеется рад ограничений. Во-первых, выполнять подмену он начинает только при наличии системного файла %WINDIR%\\INF\\scunown.inf. Во-вторых, троян проверяет активные процессы. Если он обнаруживает процессы ряда опасных для него приложений, то подмену адресов криптокошельков не производит.

Внедрение вредоносных программ в EFI-раздел компьютеров как вектор атаки по-прежнему встречается весьма редко. Поэтому выявленный случай представляет большой интерес для специалистов по информационной безопасности.

По подсчетам наших вирусных аналитиков, на момент публикации этой новости с помощью стилера Trojan.Clipper.231 злоумышленники украли 0.73406362 BTC и 0.07964773 ETH, что примерно эквивалентно сумме $18 976,29 или 1 568 233 рубля.
Источник

ну ну стаж в обоих случаях с гулькин нос

Dimon1109 писал(а):

Как я понял, это влияет негативно "только" на тех пользавателей кто занимается криптой? От меня: респект за разработку! По информатике 5 / отлично. Хотя и криминалом попахивает. А у кого из пишущих 5ка по информатике и заработок $19к ?

Когда нацисты пришли за коммунистами, я молчал, я же не коммунист. Потом они пришли за социал-демократами, я молчал, я же не социал-демократ. Потом они пришли за членами профсоюза, я молчал, я же не член профсоюза. Потом они пришли за евреями, я молчал, я же не еврей. А потом они пришли за мной, и уже не было никого, кто бы мог протестовать (c) пастор Мартин Нимёллер (1892-1984)

P.S. В этот раз они пришли за криптокошельками, где гарантия, что недобросовестный талантливый сборщик-неофициал (операционки, игр, софта, кодировщик видео и т.п.) не получит доступ к Вашим уязвимым данным?

Статья отменная, но вот самое интересное в комментах.

retro9 писал(а):

Просмотр доступен только для зарегистрированных пользователей ну ну Просмотр доступен только для зарегистрированных пользователей стаж в обоих случаях с гулькин нос

и кто юзеров заставлял качать непойми что? слепая уверенность в честность незнакомцев?
я кроме дядьки Ця и m0nkrus никому безоговорочно доверяться бы не стал, касаемо операционки. Только время их ушло, альтруисты вымирают.

jabjab писал(а):

Подскажите пожалуйста. Как скачать с официального сайта Microsoft образ Windows 10 LTSC 2021?

НУ если так разобраться, данный сборщик неплохо так наварился за 1 год заработать больше миллиона, жаль что вот нельзя его наказать по закону. А Вебу респект за то что вывел на чистую воду проказника. Один раз ставил его сборку и то на виртуалку ради забавы, и не зашла. Жалко что из за одного нехорошего человека с низкой самооценкой Другие добросовестные сборщики автоматом попали под подозрение.

Georgiiy, fSector спасибо за ответ.
Но мой вопрос: как скачать с официального сайта Microsoft образ Windows 10 LTSC 2021(Не редакция Evaluation Edition)?
P.S. Ни в коей мере не подвергаю сомнению оригинальность образов предложенных Вами.

Календарь

В целом, я думаю Вы правы.

Про гарантию: я руку на отсечение и зуб даю ( :D ) обман был, есть и будет есть... Используя эту инфу и неокортекс: адопритуемся и минимируем, т.к. не избежать, урон.

А Про данные: за моими и Вашими, ценными и не очень данными, более организованные с бюджетом в сотни миллионов добрые дяди в кастюмах и галстуках уже пришли и говорят что есть, что пить, где как и на кого учиться, что смотреть ну и конечно кого выбирать...

Действительно - Волшебник.
А я то думаю куда моё сообщение то подевалось:

Интересно аккаунт у него работает ? Желающие написать ему в Л.С. - найдутся.

ну думаю если имеешь крипту то денег есть на оф образ и антивиры платные и защиту

Понятное дело, что человек который занимается созданием сборок я допускаю, что может схалтурить в этом плане. Я уже как полгода пользуюсь исключительно сборками Sanlex (это не реклама) просто выбор времени. Может тоже не все гладко конечно, но блин если человек настолько ленивый, что не может сам потрахаться и вырезать все из "чистого образа" но тогда вообще зачем все остальные разговоры. Как говорят у нас на Привозе: Не нравится рыбка, идите в море и наловите себе что хотите

!	Примечание от pericl:
	Без мата Вас конечно никто не поймет - 100%. Да?! 2.2. Нецензурная брань. Отредактировано.

starfrost писал(а):

Понятное дело, что человек который занимается созданием сборок я допускаю, что может схалтурить в этом плане. Я уже как полгода пользуюсь исключительно сборками Sanlex (это не реклама) просто выбор времени. Может тоже не все гладко конечно, но блин если человек настолько ленивый, что не может сам потрахаться и вырезать все из "чистого образа" но тогда вообще зачем все остальные разговоры. Как говорят у нас на Привозе: Не нравится рыбка, идите в море и наловите себе что хотите

Я просто дико прошу прощения, действительно. Но из песни слов не выкинешь. Очень редкий мат если по тексту "иногда" не испортит цитату. Тем более то, что я написал и и то как отредактировано имеет абсолютно разный смысл. То как отредактировано указывает на конкретное направление действия. А то как я написал, указывает вообще на свободу действий в данной ситуации независимо от течения времени

Волшебник решил, что любой труд должен быть вознаграждён и нарубил себе за свои сборки $19 000.)))

Мне интересно, те кто пишут в теме что ставят себе MSDN образы и радуются что они защищены, не думают о том, что в любом варезе может быть вирусня?)