Поделиться
На торрентах раздают Windows 10, которая ворует биткоины
Российская антивирусная компания «Доктор Веб» обнаружила новый троян, который помогает злоумышленникам обкрадывать невнимательных пользователей. Вредоносное ПО распространяется через пиратские образы Windows 10 по p2p-протоколу BitTorrent.Пиратские образы Windows с «сюрпризом»
В Сети появились образы операционной системы Microsoft Windows 10, зараженные вредоносным программными обеспечением, которое ворует у пользователей криптовалюту. Об этом CNews сообщил представитель компании «Доктор Веб», специалисты которой выявили угрозу.
Доходы операторов трояна пока нельзя назвать огромными. По подсчетам российского разработчика антивирусного ПО, мошенникам удалось похитить 0,73406362 BTC (Биткоин) и 0,07964773 ETH (Эфир) – эквивалент $19 тыс. (около 1,55 млн руб. по курсу ЦБ на 14 июня 2023 г.).
Сборки операционной системы, содержащие программу-стилер, являются неофициальными и распространяются посредством одного из торрент-трекеров в интернете – какого именно, в компании не уточняют.
Создатели некоторых из образов, вероятно, владеют русским языком – об этом свидетельствуют названия соответствующих ISO-файлов, которые, как показало расследование компании «Доктор Веб», содержат зараженную копию Windows 10 и в некоторых случаях – офисный пакет Microsoft Office 2021 в качестве дополнения к ОС, к примеру, “Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso” и “Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso”.
В компании «Доктор Веб» предупреждают, что зараженные образы могут распространяться и через иные интернет-ресурсы и рекомендуют воздержаться от загрузки пиратских сборок операционных систем Microsoft.
«Ограниченный» троян
Троян, занимающийся хищением криптовалюты, получил имя Trojan.Clipper.231. Он подменяет адреса кошельков с криптовалютой, скопированные в буфер обмена, на принадлежащие киберпреступникам. Таким образом, при осуществлении перевода с одного кошелька на другой невнимательный пользователь рискует «подарить» операторам трояна собственные накопления.
При этом, как рассказали CNews в компании «Доктор Веб», у него имеется рад ограничений, заложенных разработчиками. В частности, он ведет непрерывный мониторинг списка активных процессов и при обнаружении опасных для него приложений, то есть способных обнаружить его и нейтрализовать, прекращает подменять содержимое буфера обмена.
Примечательно, что выполнять свою основную функцию вредоносное ПО будет исключительно при наличии в системе файла “scunown.inf”, расположенного в подкаталоге “INF” каталога “Windows”.
Как пояснил в разговоре с CNews представитель компании «Доктор Веб», файл “scunown.inf” используется в качестве счетчика запусков трояна. При выполнении первых 60 загрузок ОС и, соответственно, вредоносной программы, последняя сразу завершает свою работу. По мнению специалистов компании, это сделано злоумышленниками для того, чтобы отвести подозрения от ISO-образа из которого была установлена Windows.
Экзотический вектор атаки
Внедрение Trojan.Clipper.231 осуществляется в EFI-раздел Windows на системном накопителе компьютера. В EFI-разделе, небольшом скрытом участке жесткого диска или SSD, хранится загрузчик Windows и прочие связанные с ранними этапами запуска операционной системы. Этот раздел необходим для выполнения загрузки Windows на ПК, в которых вместо устаревших микросхем BIOS установлены современные UEFI. Поскольку стандартные антивирусные инструменты не всегда сканируют EFI-раздел, у вредоноса Trojan.Clipper.231 есть шансы остаться вне поле зрения подобного ПО.
Как отмечают в компании «Доктор Веб», такой вектор атаки по-прежнему встречается весьма редко и представляет большой интерес для специалистов в области информационной безопасности. К примеру, его использует мощный UEFI-буткит BlackLotus, способный успешно скрываться от антивирусного ПО.
Как происходит заражение
В пиратских сборках, выявленных специалистами компании «Доктор Веб» в подкаталоге “Windows\Installler” присутствуют сразу три вредоносных программы. Две из них – Trojan.MulDrop22.7578 (scsicli.exe; дроппер) и Trojan.Inject4.57873 (recovery.exe; инжектор) требуются для внедрения и закрепления в системе. Последняя – собственно Trojan.Clipper.231 (kd_08_5e78.dll) – непосредственно ворует криптовалюту.
Инициализация стилера происходит в несколько стадий, объясняют в компании «Доктор Веб».
На первом из них при помощи системного планировщика задач запускается Trojan.MulDrop22.7578. Она выполняет монтирование EFI-раздела на диск M:\, после чего копирует на него остальные компоненты и стирает оригиналы троянских файлов с диска C:\, отправляет на исполнение Trojan.Inject4.57873 и размонтирует EFI-раздел.
Затем Trojan.Inject4.57873 с использованием техники подмены процесса (Process Hollowing) внедряет Trojan.Clipper.231 в системный процесс “Lsaiso.exe” (файл расположен в подкаталоге System32 системного каталога Windows), после чего стилер начинает работать в его контексте.
Получив управление, Trojan.Clipper.231 приступает к отслеживанию буфера обмена и подменяет скопированные адреса криптокошельков на адреса, заданные злоумышленниками.
Не все сторонние сборки Windows плохи
В феврале 2023 г. CNews писал о том, что команда разработчиков NTDEV создала свою уникальную версию операционной системы Windows 11 под названием Tiny11. Из этой сборки были исключены все лишние, по мнению разработчиков, компоненты, в результате чего система оказалась способной загружаться даже не очень слабых машинах,
Короткая ссылка
