Хакеры распространяют на торрент-трекерах сборки Windows 10, содержащие в разделе EFI вредоносное программное обеспечение для хищения криптовалюты. Операционная система не способна обнаружить зловред.
Extensible Firmware Interface или EFI — интерфейс между ОС и прошивкой устройства, который обеспечивает стандартную среду для загрузки системы и запуска предзагрузочных приложений. EFI важен для систем на базе UEFI, пришедших на смену устаревшего BIOS.
Атаки проводили с использованием модифицированных разделов EFI для активации вредоносного ПО в обход ОС и её инструментов защиты, как и в случае с буткитом BlackLotus. Исследователи Dr.Web обнаружили, что пиратские ISO-образы Windows 10 используют EFI в качестве безопасного места для хранения компонентов клипера.
Стандартные антивирусные инструменты обычно не сканируют раздел EFI, поэтому вредоносное ПО потенциально способно обойти обнаружение.
Согласно отчёту Dr.Web, вредоносные сборки Windows 10 содержат в системной папке следующие файлы:
\Windows\Installer\iscsicli.exe (дроппер);
\Windows\Installer\recovery.exe (инжектор);
\Windows\Installer\kd_08_5e78.dll (клипер).
Во время установки ОС при помощи ISO зловред создаёт запланированное задание для запуска дроппера, который монтирует EFI как диск M:\. После подключения дроппер копирует остальные два файла на диск С:\.
Затем запускается recovery.exe, который выгружает DLL-библиотеку вредоносного ПО в %WINDIR%\System32\Lsaiso.exe. После этого клипер проверяет, запущены ли инструменты анализа, включая Process Explorer, Task Manager, Process Monitor, ProcessHacker и другие.
Клипер начинает сканировать системный буфер обмена на наличие адресов криптовалютных кошельков, которые заменяются адресам злоумышленников. Это позволяет хакерам перенаправлять платежи на свои счета. По данным Dr.Web, таким образом злоумышленникам удалось похитить не менее $19 тыс.
Вредоносное ПО содержали следующие ISO-образы Windows, которые были размещены на торрент-трекерах:
Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso;
Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso;
Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso;
Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 от BoJlIIIebnik [RU, EN].iso;
Windows 10 Pro 22H2 19045.2913 x64 от BoJlIIIebnik [RU, EN].iso.
