Пиратские ISO-образы Windows 10 устанавливают клипера в EFI-раздел
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Пиратские ISO-образы Windows 10 устанавливают клипера в EFI-раздел

Екатерина Быстрова 14 Июня 2023 - 10:01
...
Пиратские ISO-образы Windows 10 устанавливают клипера в EFI-раздел

Киберпреступники распространяют пиратские сборки Windows 10 через торрент-ресурсы, но есть нюанс: находчивые злоумышленники спрятали в разделе EFI (Extensible Firmware Interface) вредоноса-клипера, похищающего криптовалюту пользователей.

Как известно, раздел EFI представляет собой системную область, где содержатся загрузчик и связанные файлы. Всё это добро запускается до старта самой ОС, поэтому метод атакующих позволяет клиперу уходить от детектирования антивирусными программами.

Само собой, сам метод далеко не новый. Ранее операторы многих вредоносов уже модифицировали EFI-разделы для запуска своих программ за пределами операционной системы. Можно вспомнить хотя бы BlackLotus.

На пиратские ISO-образы обратили внимание специалисты антивирусной компании «Доктор Веб». По их словам, злоумышленники используют EFI в качестве безопасного хранилища для компонентов клипера.

Поскольку стандартные защитные программы не сканируют эту область, вредоносная программа может спокойно остаться незамеченной. Как отметили в «Доктор Веб», билды Windows 10 скрывают следующие злонамеренные компоненты:

  1. \Windows\Installer\iscsicli.exe (дроппер)
  2. \Windows\Installer\recovery.exe (инжектор)
  3. \Windows\Installer\kd_08_5e78.dll (клипер)

Скриншот BleepingComputer

 

После того как пользователь устанавливает ОС с помощью упомянутых ISO, в системе автоматически создаётся запланированная задача, запускающая дроппер iscsicli.exe. Последний монтирует раздел «M:\» и копирует два файла — recovery.exe и kd_08_5e78.dll — в корень диска «C».

После запуска вредоноса DLL внедряется в легитимный системный процесс %WINDIR%\System32\Lsaiso.exe. При этом зловред проверяет, запущены ли инструменты анализа вроде Process Explorer, Task Manager, Process Monitor, ProcessHacker и т. п.

Специалисты «Доктор Веб» привели список образов ISO, которых нужно избегать на торрент-сайтах:

  • Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
  • Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
  • Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
  • Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso
  • Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso
Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Опубликована программа CyberCamp 2025: более 40 докладов и киберучения
Екатерина Быстрова 03 Октября 2025 - 18:20
Домашние пользователиКорпорации Инфосистемы Джет
Опубликована программа CyberCamp 2025: более 40 докладов и киберучения

Организаторы онлайн-кэмпа по практической кибербезопасности представили программу мероприятия. В этом году CyberCamp пройдёт с 20 по 25 октября и объединит более 40 докладов, киберучения и дискуссии специалистов. 20 октября состоится церемония открытия, а с 21 по 23 октября — основные выступления.

Среди участников — эксперты из «Инфосистемы Джет», BI.ZONE, Positive Technologies, R-Vision, «Лаборатории Касперского», OZON Tech и других компаний.

Темы охватывают широкий спектр вопросов: от анализа APT-группировок и методов расследования инцидентов до практик защиты контейнерных приложений и поиска инфраструктуры злоумышленников.

  • 21 октября ожидаются доклады о группировке XDSpy, инструментах туннелирования, особенностях реагирования на инциденты и взаимодействии ИБ и PR.
  • 22 октября будут представлены исследования отчётов Bug Bounty, доклады об OSINT, уязвимостях в «1С: Предприятие» и построении сервисной модели управления ИБ.
  • 23 октября в программе — обсуждение защиты контейнерных приложений, DDoS-атак в CDN, пентеста FreeIPA и поиска C2-инфраструктуры.

24 и 25 октября пройдут киберучения и круглые столы. Участники обсудят вопросы расследования атак, построения устойчивой защиты, карьерные перспективы в сфере информационной безопасности и проблему профессионального выгорания.

Полная программа опубликована на сайте CyberCamp 2025. Участие бесплатное, трансляции и материалы будут доступны онлайн.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Обновления Windows ломают сброс и восстановление в Windows 10 и 11
Новость
Обновления Windows ломают сброс и восстановление в Windows 1...
BI.ZONE представила ZTNA для защиты удалённого доступа сотрудников
Новость
BI.ZONE представила ZTNA для защиты удалённого доступа сотру...
Число DDoS-атак на вузы выросло на 74% после 20 июня 2025 года
Новость
Число DDoS-атак на вузы выросло на 74% после 20 июня 2025 го...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.