Специалисты «Доктор Веб» обнаружили троянскую программу-стилер в пиратских сборках Windows 10, распространяемых через торренты. Вирус под названием Trojan.Clipper.231 подменяет адреса криптовалютных кошельков.
Компания «Доктор Веб» обнаружила в ряде неофициальных сборок операционной системы (ОС) Windows 10 троянскую программу-стилер, которую распространяли злоумышленники через торрент-трекеры. Это вредоносное приложение, известное как Trojan.Clipper.231, подменяет адреса криптокошельков в буфере обмена на адреса, заданные мошенниками. На момент обнаружения, злоумышленникам уже удалось похитить криптовалюту на сумму, эквивалентную порядка 19 000 $.
Ситуация стала известна после того, как в конце мая 2023 года клиент обратился в компанию «Доктор Веб» с подозрением на заражение своего компьютера под управлением Windows 10. Анализ, проведенный специалистами компании, подтвердил присутствие в системе стилера Trojan.Clipper.231, а также вредоносных приложений Trojan.MulDrop22.7578 и Trojan.Inject4.57873, которые осуществляли его запуск.
Целевой операционной системой оказалась неофициальная сборка Windows, и вредоносные программы были встроены в нее изначально. В результате исследования было выявлено несколько таких зараженных сборок Windows, включая различные версии Windows 10 Pro 22H2:
Все они были доступны для скачивания на одном из торрент-трекеров.
Вредоносные программы в этих сборках находились в системном каталоге Windows. Инициализация стилера происходила в несколько стадий. Сначала через системный планировщик задач запускалась вредоносная программа Trojan.MulDrop22.7578, которая монтировала системный EFI-раздел на диск M:, копировала на него два других компонента, затем удаляла оригиналы троянских файлов с диска C:, запускала Trojan.Inject4.57873 и размонтировала EFI-раздел. Затем Trojan.Inject4.57873 с использованием техники Process Hollowing внедрял Trojan.Clipper.231 в системный процесс %WINDIR%System32Lsaiso.exe, после чего стилер начинал работать в его контексте.
После получения управления, Trojan.Clipper.231 приступал к отслеживанию буфера обмена и подменял скопированные адреса криптокошельков на адреса, заданные злоумышленниками. Однако, стилер имел ряд ограничений: он начинал выполнять подмену только при наличии системного файла %WINDIR%INFscunown.inf и проверял активные процессы, не производя подмену адресов криптокошельков при обнаружении определенных процессов, которые были опасны для него.
Внедрение вредоносных программ в EFI-раздел компьютеров как вектор атаки по-прежнему встречается весьма редко, что делает выявленный случай предметом большого интереса для специалистов по информационной безопасности. По подсчетам вирусных аналитиков компании «Доктор Веб», с помощью стилера Trojan.Clipper.231 злоумышленники украли 0.73406362 BTC и 0.07964773 ETH, что примерно эквивалентно сумме 18 976,29 $ или 1 568 233 рубля.
Источник новости: www.playground.ru
