Пиратские ISO-образы Windows 10 устанавливают клипера в EFI-раздел

Пиратские ISO-образы Windows 10 устанавливают клипера в EFI-раздел

Пиратские ISO-образы Windows 10 устанавливают клипера в EFI-раздел

Киберпреступники распространяют пиратские сборки Windows 10 через торрент-ресурсы, но есть нюанс: находчивые злоумышленники спрятали в разделе EFI (Extensible Firmware Interface) вредоноса-клипера, похищающего криптовалюту пользователей.

Как известно, раздел EFI представляет собой системную область, где содержатся загрузчик и связанные файлы. Всё это добро запускается до старта самой ОС, поэтому метод атакующих позволяет клиперу уходить от детектирования антивирусными программами.

Само собой, сам метод далеко не новый. Ранее операторы многих вредоносов уже модифицировали EFI-разделы для запуска своих программ за пределами операционной системы. Можно вспомнить хотя бы BlackLotus.

На пиратские ISO-образы обратили внимание специалисты антивирусной компании «Доктор Веб». По их словам, злоумышленники используют EFI в качестве безопасного хранилища для компонентов клипера.

Поскольку стандартные защитные программы не сканируют эту область, вредоносная программа может спокойно остаться незамеченной. Как отметили в «Доктор Веб», билды Windows 10 скрывают следующие злонамеренные компоненты:

  1. \Windows\Installer\iscsicli.exe (дроппер)
  2. \Windows\Installer\recovery.exe (инжектор)
  3. \Windows\Installer\kd_08_5e78.dll (клипер)

Скриншот BleepingComputer

 

После того как пользователь устанавливает ОС с помощью упомянутых ISO, в системе автоматически создаётся запланированная задача, запускающая дроппер iscsicli.exe. Последний монтирует раздел «M:\» и копирует два файла — recovery.exe и kd_08_5e78.dll — в корень диска «C».

После запуска вредоноса DLL внедряется в легитимный системный процесс %WINDIR%\System32\Lsaiso.exe. При этом зловред проверяет, запущены ли инструменты анализа вроде Process Explorer, Task Manager, Process Monitor, ProcessHacker и т. п.

Специалисты «Доктор Веб» привели список образов ISO, которых нужно избегать на торрент-сайтах:

  • Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
  • Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
  • Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
  • Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso
  • Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso

Росреестр подключит ИИ к снимкам из космоса, чтобы быстрее обновлять карты

Росреестр собирается использовать искусственный интеллект для обновления картографических материалов на основе данных из космоса. Ведомство уже переходит на дистанционное зондирование Земли для картографирования территории страны, а теперь хочет добавить к этому ИИ, чтобы карты обновлялись быстрее и без лишней ручной возни.

Ранее Росреестр и «Роскосмос» подписали дорожную карту по использованию космических данных.

Теперь ведомство запускает пилотный проект по мониторингу изменений местности на основе снимков из космоса. Идея простая: спутники смотрят сверху, ИИ помогает быстрее понять, что на земле изменилось, а картографические материалы обновляются оперативнее.

В Росреестре считают проект одним из прорывных для картографии. По словам замруководителя ведомства Максима Смирнова, внедрение ИИ должно повысить скорость обновления карт, увеличить производительность труда и сделать расходование бюджетных средств эффективнее.

К процессу хотят подключить ИТ-компании. Им предложили использовать космические данные, а также векторные и реестровые сведения разных масштабов. После этого Росреестр планирует выбрать наиболее подходящую технологию мониторинга из предложенных решений.

Карты хотят перестать обновлять долго, сложно и руками. Вместо этого спутниковые снимки, алгоритмы и автоматический поиск изменений на местности. Для страны таких размеров это звучит логично: объехать всё ногами всё равно не получится, а вот посмотреть из космоса и дать ИИ разобрать картинку — уже гораздо проще.

RSS: Новости на портале Anti-Malware.ru