Пиратские ISO-образы Windows 10 устанавливают клипера в EFI-раздел

Пиратские ISO-образы Windows 10 устанавливают клипера в EFI-раздел

Пиратские ISO-образы Windows 10 устанавливают клипера в EFI-раздел

Киберпреступники распространяют пиратские сборки Windows 10 через торрент-ресурсы, но есть нюанс: находчивые злоумышленники спрятали в разделе EFI (Extensible Firmware Interface) вредоноса-клипера, похищающего криптовалюту пользователей.

Как известно, раздел EFI представляет собой системную область, где содержатся загрузчик и связанные файлы. Всё это добро запускается до старта самой ОС, поэтому метод атакующих позволяет клиперу уходить от детектирования антивирусными программами.

Само собой, сам метод далеко не новый. Ранее операторы многих вредоносов уже модифицировали EFI-разделы для запуска своих программ за пределами операционной системы. Можно вспомнить хотя бы BlackLotus.

На пиратские ISO-образы обратили внимание специалисты антивирусной компании «Доктор Веб». По их словам, злоумышленники используют EFI в качестве безопасного хранилища для компонентов клипера.

Поскольку стандартные защитные программы не сканируют эту область, вредоносная программа может спокойно остаться незамеченной. Как отметили в «Доктор Веб», билды Windows 10 скрывают следующие злонамеренные компоненты:

  1. \Windows\Installer\iscsicli.exe (дроппер)
  2. \Windows\Installer\recovery.exe (инжектор)
  3. \Windows\Installer\kd_08_5e78.dll (клипер)

Скриншот BleepingComputer

 

После того как пользователь устанавливает ОС с помощью упомянутых ISO, в системе автоматически создаётся запланированная задача, запускающая дроппер iscsicli.exe. Последний монтирует раздел «M:\» и копирует два файла — recovery.exe и kd_08_5e78.dll — в корень диска «C».

После запуска вредоноса DLL внедряется в легитимный системный процесс %WINDIR%\System32\Lsaiso.exe. При этом зловред проверяет, запущены ли инструменты анализа вроде Process Explorer, Task Manager, Process Monitor, ProcessHacker и т. п.

Специалисты «Доктор Веб» привели список образов ISO, которых нужно избегать на торрент-сайтах:

  • Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
  • Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
  • Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
  • Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso
  • Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Эксперт НАФИ назвала самые опасные схемы, связанные с поиском работы

Эксперт проекта Научно-исследовательского финансового института (НИФИ) Минфина России «Моифинансы.рф» Ольга Дайнеко назвала самыми опасными мошенническими схемами при поиске работы вовлечение в транзит денежных средств и доставку неизвестных посылок.

Как предупредила эксперт в комментарии для «Газеты.ru», подобные «подработки» могут привести к уголовной ответственности.

По её словам, наибольшую опасность представляет деятельность «курьера по особым поручениям», когда соискателю предлагают передавать деньги или посылки, строго следуя инструкциям. Если такая схема связана с незаконной деятельностью, риск оказаться соучастником преступления крайне высок.

Также, по оценке эксперта, потенциальных «дропов» мошенники часто вербуют не напрямую, а через вакансии администраторов групп в соцсетях и мессенджерах. В обязанности таких «администраторов» входит якобы ведение учета средств, сбор пожертвований или призов.

«В подобных случаях человек использует свои банковские карты для приёма и обналичивания поступлений. Это, пожалуй, один из самых опасных видов “подработки” — он грозит обвинением в соучастии в преступлении и уголовным преследованием», — предупреждает Ольга Дайнеко.

По её словам, всё ещё распространены схемы с «вложениями», оплатой обучения или использованием личных банковских карт. Также участились случаи, когда соискателям предлагают заранее оплатить налог на доходы (НДФЛ) — после перевода средств «работодатели» исчезают. Кроме того, мошенники требуют выполнения объёмных заданий под видом тестовых.

Не теряет актуальности и схема с фиктивными покупками на маркетплейсах. Похожим образом действуют и под видом сервисов бронирования или продажи билетов.

В последнее время мошенников всё чаще интересует не только получение денег, но и сбор персональных данных. Это проявляется в требованиях предоставить копии документов, информацию о семье и имущественном положении уже на этапе заполнения анкеты.

С декабря 2024 года начала распространяться схема с фальшивым трудоустройством в пункты выдачи заказов: соискателей вынуждали устанавливать вредоносную программу. Позже также была выявлена схема кредитного мошенничества — займы оформлялись на имена подставных лиц, часто непрофессиональных актёров.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru