В ряде неофициальных сборок Windows обнаружен стилер для кражи криптовалюты, который проникает в EFI-раздел

Компания «Доктор Веб» выявила троянскую программу-стилер в ряде неофициальных сборок ОС Windows 10, которые злоумышленники распространяли через один из торрент-трекеров. Получившее имя Trojan.Clipper.231, это вредоносное приложение подменяет адреса криптокошельков в буфере обмена на адреса, заданные мошенниками. На данный момент с его помощью злоумышленникам удалось похитить криптовалюту на сумму, эквивалентную порядка $19 000.



В конце мая 2023 года в компанию «Доктор Веб» обратился клиент с подозрением на заражение компьютера под управлением ОС Windows 10. Проведенный специалистами анализ подтвердил факт присутствия троянских программ в системе —стилера Trojan.Clipper.231, а также вредоносных приложений Trojan.MulDrop22.7578 и Trojan.Inject4.57873, осуществлявших его запуск. Вирусная лаборатория «Доктор Веб» успешно локализовала все эти угрозы и справилась с их обезвреживанием.

В то же время выяснилось, что целевая ОС являлась неофициальной сборкой, и вредоносные программы были встроены в нее изначально. Дальнейшее исследование позволило выявить несколько таких зараженных сборок Windows:

Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso
Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso

Все они были доступны для скачивания на одном из торрент-трекеров, однако нельзя исключать, что злоумышленники используют и другие сайты для распространения инфицированных образов системы.

Вредоносные программы в этих сборках расположены в системном каталоге:

\Windows\Installer\iscsicli.exe (Trojan.MulDrop22.7578)
\Windows\Installer\recovery.exe (Trojan.Inject4.57873)
\Windows\Installer\kd_08_5e78.dll (Trojan.Clipper.231)

Инициализация стилера происходит в несколько стадий. На первом этапе через системный планировщик задач запускается вредоносная программа Trojan.MulDrop22.7578:

%SystemDrive%\Windows\Installer\iscsicli.exe
Ее задача — смонтировать системный EFI-раздел на диск M:\, скопировать на него два других компонента, после чего удалить оригиналы троянских файлов с диска C:\, запустить Trojan.Inject4.57873 и размонтировать EFI-раздел.

В свою очередь, Trojan.Inject4.57873 с использованием техники Process Hollowing внедряет Trojan.Clipper.231 в системный процесс %WINDIR%\\System32\\Lsaiso.exe, после чего стилер начинает работать в его контексте.

Получив управление, Trojan.Clipper.231 приступает к отслеживанию буфера обмена и подменяет скопированные адреса криптокошельков на адреса, заданные злоумышленниками. При этом у него имеется рад ограничений. Во-первых, выполнять подмену он начинает только при наличии системного файла %WINDIR%\\INF\\scunown.inf. Во-вторых, троян проверяет активные процессы. Если он обнаруживает процессы ряда опасных для него приложений, то подмену адресов криптокошельков не производит.

Внедрение вредоносных программ в EFI-раздел компьютеров как вектор атаки по-прежнему встречается весьма редко. Поэтому выявленный случай представляет большой интерес для специалистов по информационной безопасности.

По подсчетам наших вирусных аналитиков, на момент публикации этой новости с помощью стилера Trojan.Clipper.231 злоумышленники украли 0.73406362 BTC и 0.07964773 ETH, что примерно эквивалентно сумме $18 976,29 или 1 568 233 рубля.
Источник

dazedx6x

Интересно с каких это пор официальные MSDN образы Windows стали с вируснёй?

jabjab писал(а):

как скачать с официального сайта Microsoft образ Windows 10 LTSC 2021(Не редакция Evaluation Edition)?

Без логина на сайте никак, а утилит, которые могут сгенерировать ссылки на бизнес-редакции в общем доступе вроде нет.

Georgiiy
Наверное он имел ввиду установку любого взломанного ПО в систему, по сути BoJlIIIebnik попался потому что его деятельностью плотно занялись. Сколько еще не раскрыто в мире различных сборок, репаков и прочего остается только догадываться. Так то заходишь на проверенный ресурс которому доверяешь что бы скачать софт, а какой нибудь ушлый паренек всех обвел вокруг пальца, что поделать цифровой мир тоже не идеален. Радует что трекеры быстро реагируют и удаляют подобное вредительство

dazedx6x писал(а):

Мне интересно, те кто пишут в теме что ставят себе MSDN образы и радуются что они защищены, не думают о том, что в любом варезе может быть вирусня?)

Причем, тебя же потом отговаривают, мол, эвристика антивирусов несовершенна и все такое в том же духе.

На одном из моих ноутбуков стоит сборка от Волшебника, но я не пользуюсь криптовалютой и криптокошельков у меня нет. Могу ли я и дальше продолжать пользоваться этой сборкой без ущерба для себя? И, кстати, Касперский ничего на этой сборке у меня не обнаружил.

Пользуйтесь на здоровье.

Televizor74 писал(а):

И, кстати, Касперский ничего на этой сборке у меня не обнаружил.

Написано же:

Цитата:

Во-вторых, троян проверяет активные процессы.

Т.ч. загружаться с компакт-диска или флешки и только потом уже начинать искать бяку.

starfrost писал(а):

Я уже как полгода пользуюсь исключительно сборками Sanlex (это не реклама) просто выбор времени.

Пишут про его сборки:
самые разнообразные траблы у многих пользователей – либо с оборудованием, либо «что-то не работает». Полностью устранить эти два недостатка своих сборок SanLex не сумел до сих пор. По-прежнему многие юзеры жалуются, что разгоняются проц и видеокарта, из-за чего кулера шумят, как двигатели самолета. Видимо, SanLex применяет твики для максимальной разгонки процессора, а Windows по умолчанию снижает его частоту (чтоб не перегревался, и экономилась электроэнергия).
Авторские необычные идеи SanLex – для оптимизации ПК – бесспорно, заслуживают уважения. Если вы тоже в душе немного экспериментатор, то вам его системы понравятся. Но если вы хотите для себя спокойную нормальную стабильную систему, то лучше подыщите другой вариант. Потому что термин «стабильность» - это не про сборки by SanLex. В его системах возможны самые непривычные ситуации, например, не запускается активатор (т.к. ему нужен Scrpipting Host, а SanLex его отключил). Многие программы тоже не будут работать как надо, но зато сама система «летает».
По факту это довольно рискованные системы, которые могут себя повести непредсказуемо.

XpucT.. Теперь BoJlIIIebnik. Дальше кто?.. Из за отдельных лиц недоверие к добросовестным авторам может возникнуть у большинства юзеров.

Maxim_101 писал(а):

Цитата:

XpucT.. Теперь BoJlIIIebnik. Дальше кто?..

Дальше - хитро-мудрый арменин со своим твикером. Твикай на здоровье!

starfrost писал(а):

Цитата:

Я уже как полгода пользуюсь исключительно сборками Sanlex (это не реклама) просто выбор времени.

Юзер под ником Sanlex проявил себя на трекере, как релизер фильмов 720p с неоправданно завышенным битрейтом. Над ним даже batonchik в свое время угарал.
Потом ему вдруг захотелось винду ломать и выкладывать свои поделки.
Что ему дальше взбредет в голову? Одному богу известно.
Может он захочет порноролики со своим участием снимать и выкладывать...