Компания «Доктор Веб» сообщила об обнаружении в пиратских сборках Windows 10 трояна-стилера, которые злоумышленники распространяли через неназванный торрент-трекер.
Вредонос, получившей имя
Исследователи рассказали, что в конце мая 2023 года в компанию обратился клиент с подозрением на заражение компьютера под управлением ОС Windows 10. Проведенный специалистами анализ подтвердил факт присутствия троянских программ в системе — стилера Trojan.Clipper.231, а также вредоносных приложений
В то же время выяснилось, что целевая ОС являлась неофициальной сборкой, и вредоносные программы были встроены в нее изначально.
Дальнейшее исследование обнаружило несколько таких зараженных сборок Windows:
Малварь в этих сборках расположена в системном каталоге:
Задача вредоноса — смонтировать системный EFI-раздел на диск M:\, скопировать на него два других компонента, после чего удалить оригиналы троянских файлов с диска C:\, запустить Trojan.Inject4.57873 и размонтировать EFI-раздел.
В свою очередь, Trojan.Inject4.57873 с использованием техники Process Hollowing внедряет Trojan.Clipper.231 в системный процесс %WINDIR%\\System32\\Lsaiso.exe, после чего стилер начинает работать в его контексте.
Получив управление, Trojan.Clipper.231 приступает к отслеживанию буфера обмена и подменяет скопированные адреса криптокошельков на адреса, заданные хакерами. Однако отмечается, что у вредоноса имеется рад ограничений. Во-первых, выполнять подмену он начинает только при наличии системного файла %WINDIR%\\INF\\scunown.inf. Во-вторых, троян проверяет активные процессы. Если он обнаруживает процессы ряда опасных для него приложений, то подмену адресов криптокошельков не производит.
По подсчетам аналитиков, на момент публикации отчета с помощью Trojan.Clipper.231 было украдено 0.73406362 BTC и 0.07964773 ETH, что примерно эквивалентно сумме 18 976 долларов США или 1 568 233 рублям.
Компания «Доктор Веб» рекомендует пользователям скачивать только оригинальные ISO-образы операционных систем и только из проверенных источников, таких как сайты производителей.
Вредонос, получившей имя
Для просмотра ссылки необходимо нажать
Вход или Регистрация
, подменяет в буфере обмена адреса криптокошельков на адреса, принадлежащие злоумышленникам. На данный момент с помощью этой малвари хакерам удалось похитить криптовалюту на 19 000 долларов США.Исследователи рассказали, что в конце мая 2023 года в компанию обратился клиент с подозрением на заражение компьютера под управлением ОС Windows 10. Проведенный специалистами анализ подтвердил факт присутствия троянских программ в системе — стилера Trojan.Clipper.231, а также вредоносных приложений
Для просмотра ссылки необходимо нажать
Вход или Регистрация
и
Для просмотра ссылки необходимо нажать
Вход или Регистрация
, осуществлявших его запуск.В то же время выяснилось, что целевая ОС являлась неофициальной сборкой, и вредоносные программы были встроены в нее изначально.
Дальнейшее исследование обнаружило несколько таких зараженных сборок Windows:
- Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso;
- Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso;
- Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso;
- Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso;
- Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso.
Малварь в этих сборках расположена в системном каталоге:
- \Windows\Installer\iscsicli.exe (Trojan.MulDrop22.7578)
- \Windows\Installer\recovery.exe (Trojan.Inject4.57873)
- \Windows\Installer\kd_08_5e78.dll (Trojan.Clipper.231)
Задача вредоноса — смонтировать системный EFI-раздел на диск M:\, скопировать на него два других компонента, после чего удалить оригиналы троянских файлов с диска C:\, запустить Trojan.Inject4.57873 и размонтировать EFI-раздел.
В свою очередь, Trojan.Inject4.57873 с использованием техники Process Hollowing внедряет Trojan.Clipper.231 в системный процесс %WINDIR%\\System32\\Lsaiso.exe, после чего стилер начинает работать в его контексте.
Получив управление, Trojan.Clipper.231 приступает к отслеживанию буфера обмена и подменяет скопированные адреса криптокошельков на адреса, заданные хакерами. Однако отмечается, что у вредоноса имеется рад ограничений. Во-первых, выполнять подмену он начинает только при наличии системного файла %WINDIR%\\INF\\scunown.inf. Во-вторых, троян проверяет активные процессы. Если он обнаруживает процессы ряда опасных для него приложений, то подмену адресов криптокошельков не производит.
Исследователи пишут, что внедрение малвари в EFI-раздел компьютеров по-прежнему встречается весьма редко. Поэтому выявленный случай представляет большой интерес для ИБ-специалистов.
По подсчетам аналитиков, на момент публикации отчета с помощью Trojan.Clipper.231 было украдено 0.73406362 BTC и 0.07964773 ETH, что примерно эквивалентно сумме 18 976 долларов США или 1 568 233 рублям.
Компания «Доктор Веб» рекомендует пользователям скачивать только оригинальные ISO-образы операционных систем и только из проверенных источников, таких как сайты производителей.
Для просмотра ссылки необходимо нажать
Вход или Регистрация