Hackers verspreiden Windows 10 met behulp van torrents die cryptocurrency-hijackers verbergen in de EFI-partitie (Extensible Firmware Interface) om detectie te omzeilen.
De EFI-partitie is een kleine systeempartitie die de bootloader en gerelateerde bestanden bevat die zijn uitgevoerd vóór het opstarten van het besturingssysteem. Het is essentieel voor UEFI-aangedreven systemen die het nu verouderde BIOS vervangen. De (illegale) Windows 10-ISO's gebruiken EFI als 'veilige ruimte' voor clipper-componenten. Aangezien standaard antivirusprogramma's de EFI-partitie gewoonlijk niet scannen, kan de malware mogelijk detecties omzeilen.
Volgens Dr. Web bevatten de getroffen Windows 10-builds de volgende apps die in de systeemdirectorie zitten verborgen:
- \Windows\Installer\iscsicli.exe (dropper) (Trojan.MulDrop22.7578)
- \Windows\Installer\recovery.exe (injector) (Trojan.Inject4.57873)
- \Windows\Installer\kd_08_5e78.dll (clipper) (Trojan.Clipper.231)
Wanneer het besturingssysteem is geïnstalleerd met behulp van de ISO, wordt er een geplande taak gemaakt om een dropper met de naam iscsicli.exe te starten, die de EFI-partitie aankoppelt als de 'M:\'-schijf. Eenmaal aangekoppeld, kopieert de dropper de andere twee bestanden, recovery.exe en kd_08_5e78.dll, naar station C:\. Recovery.exe wordt vervolgens gestart, dat de clipper-malware-DLL in het legitieme %WINDIR%\System32\Lsaiso.exe-systeemproces injecteert via procesuitholling. Na te zijn geïnjecteerd, controleert de clipper of het bestand C:\Windows\INF\scunown.inf bestaat of dat er analysetools actief zijn, zoals Process Explorer, Task Manager, Process Monitor, ProcessHacker, enz.
Als ze worden gedetecteerd, zal de clipper geen crypto-portemonnee-adressen vervangen om detectie door beveiligingsonderzoekers te omzeilen. Zodra de clipper draait, zal het het systeemklembord controleren op adressen van cryptocurrency-portemonnees. Als er een wordt gevonden, worden ze on-the-fly vervangen door adressen die onder controle van de aanvaller staan.
Deze adressen zijn geëxtraheerd uit de volgende Windows ISO gedeeld op torrent-sites, waarvan er mogelijk meer zijn:
Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 door BoJlIIIebnik RU.iso
Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 door BoJlIIIebnik RU.iso
Windows 10 Pro 22H2 19045.2846 x64 door BoJlIIIebnik RU.iso
Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 door BoJlIIIebnik [RU, EN].iso
Windows 10 Pro 22H2 19045.2913 x64 door BoJlIIIebnik [RU, EN].iso
Bron: Dr. Web
4 besproken producten
| Vergelijk | Product | Prijs | |
|---|---|---|---|
|
Microsoft Windows 10 Home 32-bit NL
|
€ 138,681 winkel |
|
|
Microsoft Windows 10 Home 64-bit NL
|
€ 171,051 winkel |
|
|
Microsoft Windows 10 Pro 32-bit NL
|
Niet verkrijgbaar | |
|
Microsoft Windows 10 Pro 64-bit NL
|
Niet verkrijgbaar |
