Le Immagini ISO piratate di Windows 10 installano malware clipper tramite partizioni EFI
Pubblicato da Angelo Domeneghini in Privacy - Sicurezza - BUG · 15 Giugno 2023
Tags: #malware, #iso, #window10
Tags: #malware, #iso, #window10
Gli ISO piratati di Windows 10 installano malware clipper tramite partizioni EFI
Gli hacker stanno distribuendo Windows 10 utilizzando torrent che nascondono i dirottatori di criptovaluta nella partizione EFI (Extensible Firmware Interface) per eludere il rilevamento.
La partizione EFI è una piccola partizione di sistema contenente il bootloader e i relativi file eseguiti prima dell'avvio del sistema operativo. È essenziale per i sistemi basati su UEFI che sostituiscono il BIOS ormai obsoleto.
Ci sono stati attacchi che utilizzano partizioni EFI modificate per attivare malware dall'esterno del contesto del sistema operativo e dei suoi strumenti di difesa, come nel caso di BlackLotus.
Tuttavia, gli ISO piratati di Windows 10 scoperti dai ricercatori di Dr. Web utilizzano semplicemente EFI come spazio di archiviazione sicuro per i componenti del clipper.
Poiché gli strumenti antivirus standard non eseguono comunemente la scansione della partizione EFI, il malware può potenzialmente aggirare i rilevamenti di malware.
Il rapporto di Dr. Web spiega che le build dannose di Windows 10 nascondono le seguenti app nella directory di sistema:
\Windows\Installer\iscsicli.exe (contagocce)
\Windows\Installer\recovery.exe (iniettore)
\Windows\Installer\kd_08_5e78.dll (clipper)
Quando il sistema operativo viene installato utilizzando l'ISO, viene creata un'attività pianificata per avviare un dropper denominato iscsicli.exe, che monta la partizione EFI come unità "M:\". Una volta montato, il dropper copia gli altri due file, recovery.exe e kd_08_5e78.dll, nell'unità C:\.
Viene quindi avviato Recovery.exe, che inietta la DLL del malware clipper nel legittimo processo di sistema %WINDIR%\System32\Lsaiso.exe tramite svuotamento del processo.
Dopo essere stato iniettato, il clipper verificherà se esiste il file C:\Windows\INF\scunown.inf o se sono in esecuzione strumenti di analisi, come Process Explorer, Task Manager, Process Monitor, ProcessHacker, ecc.
Se vengono rilevati, il clipper non sostituirà gli indirizzi del portafoglio crittografico per eludere il rilevamento da parte dei ricercatori di sicurezza.
Una volta che il clipper è in esecuzione, monitorerà gli appunti di sistema per gli indirizzi del portafoglio di criptovaluta. Se ne vengono trovati, vengono sostituiti al volo con indirizzi sotto il controllo dell'aggressore.
Ciò consente agli attori delle minacce di reindirizzare i pagamenti sui loro account, il che, secondo Dr. Web, ha reso loro almeno $ 19.000 di criptovaluta sugli indirizzi del portafoglio che i ricercatori sono stati in grado di identificare.
Questi indirizzi sono stati estratti dalla seguente ISO di Windows condivisa su siti torrent, ma Dr. Web avverte che potrebbero essercene altri là fuori:
- Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 di BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 di BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2846 x64 di BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 di BoJlIIIebnik [RU, EN].iso
- Windows 10 Pro 22H2 19045.2913 x64 di BoJlIIIebnik [RU, EN].iso
I download piratati del sistema operativo dovrebbero essere evitati perché possono essere pericolosi, in quanto coloro che creano build non ufficiali possono facilmente nascondere malware persistenti.