Компания «Доктор Веб» сообщила об обнаружении в пиратских сборках Windows 10 трояна-стилера, которые злоумышленники распространяли через неназванный торрент-трекер. Вредонос, получившей имя Trojan.Clipper.231, подменяет в буфере обмена адреса криптокошельков на адреса, принадлежащие злоумышленникам. На данный момент с помощью этой малвари хакерам удалось похитить криптовалюту на 19 000 долларов США.
Исследователи рассказали, что в конце мая 2023 года в компанию обратился клиент с подозрением на заражение компьютера под управлением ОС Windows 10. Проведенный специалистами анализ подтвердил факт присутствия троянских программ в системе — стилера Trojan.Clipper.231, а также вредоносных приложений Trojan.MulDrop22.7578 и Trojan.Inject4.57873, осуществлявших его запуск.
В то же время выяснилось, что целевая ОС являлась неофициальной сборкой, и вредоносные программы были встроены в нее изначально. Дальнейшее исследование обнаружило несколько таких зараженных сборок Windows:
- Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso;
- Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso;
- Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso;
- Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso;
- Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso.
Все они доступны для скачивания на неназванном торрент-трекере, однако исследователи не исключают, что злоумышленники используют и другие сайты для распространения вредоносных образов.
Малварь в этих сборках расположена в системном каталоге:
- \Windows\Installer\iscsicli.exe (Trojan.MulDrop22.7578)
- \Windows\Installer\recovery.exe (Trojan.Inject4.57873)
- \Windows\Installer\kd_08_5e78.dll (Trojan.Clipper.231)
Инициализация стилера происходит в несколько стадий. На первом этапе через системный планировщик задач запускается Trojan.MulDrop22.7578: %SystemDrive%\Windows\Installer\iscsicli.exe.
Задача вредоноса — смонтировать системный EFI-раздел на диск M:\, скопировать на него два других компонента, после чего удалить оригиналы троянских файлов с диска C:\, запустить Trojan.Inject4.57873 и размонтировать EFI-раздел.
В свою очередь, Trojan.Inject4.57873 с использованием техники Process Hollowing внедряет Trojan.Clipper.231 в системный процесс %WINDIR%\\System32\\Lsaiso.exe, после чего стилер начинает работать в его контексте.
Получив управление, Trojan.Clipper.231 приступает к отслеживанию буфера обмена и подменяет скопированные адреса криптокошельков на адреса, заданные хакерами. Однако отмечается, что у вредоноса имеется рад ограничений. Во-первых, выполнять подмену он начинает только при наличии системного файла %WINDIR%\\INF\\scunown.inf. Во-вторых, троян проверяет активные процессы. Если он обнаруживает процессы ряда опасных для него приложений, то подмену адресов криптокошельков не производит.
Исследователи пишут, что внедрение малвари в EFI-раздел компьютеров по-прежнему встречается весьма редко. Поэтому выявленный случай представляет большой интерес для ИБ-специалистов.
По подсчетам аналитиков, на момент публикации отчета с помощью Trojan.Clipper.231 было украдено 0.73406362 BTC и 0.07964773 ETH, что примерно эквивалентно сумме 18 976 долларов США или 1 568 233 рублям.
Компания «Доктор Веб» рекомендует пользователям скачивать только оригинальные ISO-образы операционных систем и только из проверенных источников, таких как сайты производителей.
