Пиратские ISO-образы Windows 10 устанавливают клипера в EFI-раздел
Главная » Новости

Пиратские ISO-образы Windows 10 устанавливают клипера в EFI-раздел

Екатерина Быстрова 14 Июня 2023 - 10:01
...
Пиратские ISO-образы Windows 10 устанавливают клипера в EFI-раздел

Киберпреступники распространяют пиратские сборки Windows 10 через торрент-ресурсы, но есть нюанс: находчивые злоумышленники спрятали в разделе EFI (Extensible Firmware Interface) вредоноса-клипера, похищающего криптовалюту пользователей.

Как известно, раздел EFI представляет собой системную область, где содержатся загрузчик и связанные файлы. Всё это добро запускается до старта самой ОС, поэтому метод атакующих позволяет клиперу уходить от детектирования антивирусными программами.

Само собой, сам метод далеко не новый. Ранее операторы многих вредоносов уже модифицировали EFI-разделы для запуска своих программ за пределами операционной системы. Можно вспомнить хотя бы BlackLotus.

На пиратские ISO-образы обратили внимание специалисты антивирусной компании «Доктор Веб». По их словам, злоумышленники используют EFI в качестве безопасного хранилища для компонентов клипера.

Поскольку стандартные защитные программы не сканируют эту область, вредоносная программа может спокойно остаться незамеченной. Как отметили в «Доктор Веб», билды Windows 10 скрывают следующие злонамеренные компоненты:

  1. \Windows\Installer\iscsicli.exe (дроппер)
  2. \Windows\Installer\recovery.exe (инжектор)
  3. \Windows\Installer\kd_08_5e78.dll (клипер)

Скриншот BleepingComputer

 

После того как пользователь устанавливает ОС с помощью упомянутых ISO, в системе автоматически создаётся запланированная задача, запускающая дроппер iscsicli.exe. Последний монтирует раздел «M:\» и копирует два файла — recovery.exe и kd_08_5e78.dll — в корень диска «C».

После запуска вредоноса DLL внедряется в легитимный системный процесс %WINDIR%\System32\Lsaiso.exe. При этом зловред проверяет, запущены ли инструменты анализа вроде Process Explorer, Task Manager, Process Monitor, ProcessHacker и т. п.

Специалисты «Доктор Веб» привели список образов ISO, которых нужно избегать на торрент-сайтах:

  • Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
  • Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
  • Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
  • Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso
  • Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso
Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Неизвестные взломали телефон главы аппарата Белого дома
Яков Шпунт 30 Мая 2025 - 09:37
ЭксплойтыУязвимости программ Домашние пользователиГосударство
Неизвестные взломали телефон главы аппарата Белого дома

В США расследуется взлом личного телефона главы аппарата президента Сьюзи Уайлс. От её имени неизвестные звонили сенаторам, конгрессменам, министрам, губернаторам и требовали перевода денег, а также передачи конфиденциальной информации.

О расследовании сообщила газета The Wall Street Journal со ссылкой на собственные источники.

Поводом для проверки стали многочисленные звонки, которые начали поступать высокопоставленным чиновникам, политикам и представителям бизнеса.

Подозрения возникли после того, как звонившая задавала вопросы, ответы на которые настоящая Сьюзи Уайлс должна была знать заранее. Кроме того, стиль сообщений резко отличался от привычного — в них допускались грубые ошибки.

Примечательно и то, что звонки и переписка происходили в моменты, когда Уайлс сопровождала Дональда Трампа в турне по Ближнему Востоку.

В одном случае злоумышленники требовали перевода денежных средств от сенатора. Также от имени Уайлс просили составить список лиц, которых президент Трамп мог бы помиловать.

Сьюзи Уайлс — давний соратник Дональда Трампа, участвовавшая в его избирательных кампаниях как в 2016, так и в 2024 году.

Как уточняет The Wall Street Journal, в 2024 году уже имел место взлом электронной почты Уайлс. Тогда подозрения пали на проиранских хакеров. Однако в текущем случае, по данным источников издания, речь, скорее всего, идёт о злоумышленниках, действующих с территории США.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Brother обвинили в блокировке сторонних картриджей навязанным апдейтом
Новость
Brother обвинили в блокировке сторонних картриджей навязанны...
Linux io_uring помогает руткиту спрятаться от бдительного ока EDR
Новость
Linux io_uring помогает руткиту спрятаться от бдительного ок...
Google Messages теперь размывает нюдсы — привет, цензура 2.0!
Новость
Google Messages теперь размывает нюдсы — привет, цензура 2.0...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.