ISOs piratas do Windows 10 instalam malware clipper através de partições EFI

Posted on By Categoria: Outros Nenhum comentário em ISOs piratas do Windows 10 instalam malware clipper através de partições EFI

hackers estão distribuindo o Windows 10 baixado através de torrents. Essas arquivos do Windows 10 pirata ocultam malwares sequestradores de criptomoeda na partição EFI (Extensible Firmware Interface) para evitar a detecção.

A partição EFI é uma pequena partição do sistema(HD) que contém o bootloader e os arquivos relacionados executados antes da inicialização do sistema operacional.

É essencial para sistemas alimentados por UEFI que substituem o BIOS agora obsoleto.

Houve ataques utilizando partições EFI modificadas para ativar malware de fora do contexto do sistema operacional e suas ferramentas de defesa, como no caso do BlackLotus . No entanto, as ISOs piratas do Windows 10 descobertos pelos pesquisadores apenas usam o EFI como um espaço de armazenamento seguro para os componentes do clipper.

Devido à falta de verificação das ferramentas antivírus convencionais na partição EFI, existe a possibilidade de o malware passar despercebido pelas detecções de ameaças.

Segundo o relatório do site Dr Web, explica que as compilações maliciosas do Windows 10 ocultam os seguintes aplicativos no diretório do sistema:

  • \Windows\Installer\iscsicli.exe (conta-gotas)
  • \Windows\Installer\recovery.exe(injetor)
  • \Windows\Installer\kd_08_5e78.dll (clipper)

Como Funciona?

Quando o sistema operacional é instalado usando a ISO pirata, uma tarefa agendada é criada para iniciar um executável chamado iscsicli.exe, que monta a partição EFI como a unidade “M:\”. Depois de montado, o esse executável copia os outros dois arquivos, recovery.exe e kd_08_5e78.dll, para a unidade C:\.

O Recovery.exe é então iniciado, o que injeta a DLL do malware clipper no processo legítimo do sistema %WINDIR%\System32\Lsaiso.exe por meio de esvaziamento do processo.

Após ser injetado, o clipper verificará se o arquivo C:\Windows\INF\scunown.inf existe ou se alguma ferramenta de análise está rodando, como Process Explorer, Task Manager, Process Monitor, ProcessHacker, etc.

Se forem detectados, o clipper não substituirá os endereços de carteira criptográfica para evitar a detecção por pesquisadores de segurança.

Depois que o clipper estiver em execução, ele monitorará a área de transferência do sistema em busca de endereços de carteira de criptomoeda. Se algum for encontrado, eles serão substituídos imediatamente por endereços sob o controle do invasor.

ISOs Identificadas como Infectadas

Esses endereços foram extraídos do seguinte ISO do Windows compartilhado em sites de torrent, mas o Dr. Web adverte que pode haver mais por aí:

  • Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 por BoJlIIIebnik RU.iso
  • Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 por BoJlIIIebnik RU.iso
  • Windows 10 Pro 22H2 19045.2846 x64 por BoJlIIIebnik RU.iso
  • Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 por BoJlIIIebnik [RU, EN].iso
  • Windows 10 Pro 22H2 19045.2913 x64 por BoJlIIIebnik [RU, EN].iso

Uncategorized

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Share via
Facebook
Twitter
LinkedIn
Mix
Email
Print
Copy Link
Copy link
CopyCopied