Τα πειρατικά Windows 10 ISO εγκαθιστούν κακόβουλο λογισμικό clipper μέσω διαμερισμάτων EFI

Οι χάκερ διανέμουν τα

Windows 10

χρησιμοποιώντας torrents που κρύβουν αεροπειρατές κρυπτονομισμάτων στο διαμέρισμα EFI (Extensible Firmware Interface) για να αποφύγουν τον εντοπισμό.

ο

Κατάτμηση EFI

είναι ένα μικρό διαμέρισμα συστήματος που περιέχει το bootloader και σχετικά αρχεία που εκτελούνται πριν από την εκκίνηση του λειτουργικού συστήματος. Είναι απαραίτητο για συστήματα που τροφοδοτούνται από UEFI που αντικαθιστούν το απαρχαιωμένο πλέον BIOS.

Υπήρξαν επιθέσεις που χρησιμοποιούν τροποποιημένα διαμερίσματα EFI για την ενεργοποίηση κακόβουλου λογισμικού εκτός του περιβάλλοντος του λειτουργικού συστήματος και των εργαλείων άμυνας του, όπως στην περίπτωση του BlackLotus. Ωστόσο, τα πειρατικά ISO των

Windows

10

ανακαλύφθηκε από ερευνητές στο Dr. Web

Χρησιμοποιήστε απλώς το EFI ως ασφαλή αποθηκευτικό χώρο για τα εξαρτήματα της κουρευτικής μηχανής.

Δεδομένου ότι τα τυπικά εργαλεία προστασίας από ιούς δεν σαρώνουν συνήθως το διαμέρισμα EFI, το κακόβουλο λογισμικό μπορεί ενδεχομένως να παρακάμψει τους εντοπισμούς κακόβουλου λογισμικού.

Η αναφορά του Dr. Web εξηγεί ότι οι κακόβουλες εκδόσεις των Windows 10 αποκρύπτουν τις ακόλουθες εφαρμογές στον κατάλογο του συστήματος:

1. WindowsInstalleriscsicli.exe (σταγονόμετρο)
2. WindowsInstallerrecovery.exe (injector)
3. WindowsInstallerkd_08_5e78.dll (clipper)

Όταν το λειτουργικό σύστημα εγκαθίσταται χρησιμοποιώντας το ISO, δημιουργείται μια προγραμματισμένη εργασία για την εκκίνηση ενός σταγονόμετρου με το όνομα iscsicli.exe, το οποίο προσαρτά το διαμέρισμα EFI ως μονάδα δίσκου “M:”. Μετά την προσάρτηση, το σταγονόμετρο αντιγράφει τα άλλα δύο αρχεία, το recovery.exe και το kd_08_5e78.dll, στη μονάδα δίσκου C:.

Στη συνέχεια, εκκινείται το Recovery.exe, το οποίο εισάγει το DLL κακόβουλου λογισμικού περικοπής στη νόμιμη διεργασία συστήματος %WINDIR%System32Lsaiso.exe μέσω διακοπής της διαδικασίας.

Μετά την έγχυση, το πρόγραμμα κοπής θα ελέγξει εάν υπάρχει το αρχείο C:WindowsINFscunown.inf ή εάν εκτελούνται εργαλεία ανάλυσης, όπως Εξερεύνηση διεργασιών, Διαχείριση εργασιών, Παρακολούθηση διεργασιών, ProcessHacker κ.λπ.

Εάν εντοπιστούν, το πρόγραμμα κοπής δεν θα υποκαταστήσει τις διευθύνσεις κρυπτογραφικών πορτοφολιών για να αποφύγει τον εντοπισμό από τους ερευνητές ασφαλείας.

Μόλις εκτελεστεί το πρόγραμμα κοπής, θα παρακολουθεί το πρόχειρο του συστήματος για διευθύνσεις πορτοφολιού κρυπτονομισμάτων. Εάν εντοπιστούν, αντικαθίστανται on-the-fly με διευθύνσεις υπό τον έλεγχο του εισβολέα.

Αυτό επιτρέπει στους παράγοντες της απειλής να ανακατευθύνουν τις πληρωμές στους λογαριασμούς τους, κάτι που, σύμφωνα με τον Dr. Web, τους έχει κάνει κρυπτονομίσματα αξίας τουλάχιστον 19.000 $ στο

διευθύνσεις πορτοφολιού

οι ερευνητές μπόρεσαν να αναγνωρίσουν.

Αυτές οι διευθύνσεις εξήχθησαν από το ακόλουθο Windows ISO που είναι κοινόχρηστο σε ιστότοπους torrent, αλλά ο Dr. Web προειδοποιεί ότι θα μπορούσαν να υπάρχουν περισσότερα εκεί έξω:

• Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 από BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 από BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2846 x64 από BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 από τον BoJlIIIebnik [RU, EN].iso
• Windows 10 Pro 22H2 19045.2913 x64 από τον BoJlIIIebnik [RU, EN].iso

Οι λήψεις πειρατικού λειτουργικού συστήματος θα πρέπει να αποφεύγονται επειδή μπορεί να είναι επικίνδυνες, καθώς όσοι δημιουργούν τις ανεπίσημες εκδόσεις μπορούν εύκολα να κρύψουν μόνιμο κακόβουλο λογισμικό.