Перечислены неофициальные сборки Windows 10, содержащие стилер для кражи криптовалюты

Специалисты компании Dr.Web обнаружили стилер в нелицензионных сборках Windows 10, которые хакеры раздавали на одном из торрент-трекеров.

Вредоносное приложение под названием Trojan.Clipper.231 заменяет адреса криптовалютных кошельков получателя в буфере обмена на адреса мошенников. По данным аналитиков Dr.Web, с помощью стилера хакерам удалось украсть почти $19 000 в криптовалюте.

Вредоносное ПО было обнаружено в конце мая 2023 года, когда один из клиентов компании Dr.Web сообщил о заражении своего компьютера стилером. Тогда угроза была удалена. Однако выяснилось, что ОС клиента была неофициальной сборкой, и троянские программы были в нее внедрены заранее. Дальнейшее расследование показало, что существует несколько таких заражённых сборок Windows:

• Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso;
• Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso;
• Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso;
• Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso;
• Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso.

Все сборки были доступны для загрузки на одном из торрент-трекеров, но нельзя исключать, что хакеры используют и другие сайты для распространения зараженных образов системы.

Запуск стилера происходит поэтапно. На первом этапе через системный планировщик задач активируется вредоносная программа Trojan.MulDrop22.7578, которая выполняет следующие функции:

• подключить системный EFI-раздел к диску M:;
• скопировать на диск два других компонента трояна ( Trojan.MulDrop22.7578 и Trojan.Inject4.57873 );
• удалить исходные троянские файлы с диска C:;
• запустить Trojan.Inject4.57873 и отключить EFI-раздел.

Затем Trojan.Inject4.57873 с помощью техники Process Hollowing (подмена, опустошение процесса) внедряет Trojan.Clipper.231 в системный процесс «%WINDIR%\System32\Lsaiso.exe», после чего стилер начинает работать в контексте процесса.

После получения контроля Trojan.Clipper.231 следит за буфером обмена и заменяет скопированные адреса криптокошельков на адреса, заданные хакерами. При этом у стилера есть ряд ограничений:

• Во-первых, он начинает замену адресов только при наличии системного файла «%WINDIR%\INF\scunown.inf»;
• Во-вторых, троян проверяет активные процессы. Если он находит процессы некоторых приложений, опасных для него, то замена адресов криптокошельков не происходит.

По данным Dr.Web, с помощью стилера Trojan.Clipper.231 хакеры украли 0.73406362 BTC и 0.07964773 ETH, что составляет около $18 976.

Внедрение вредоносных программ в EFI-раздел компьютеров является довольно редким вектором атаки. Поэтому данный случай представляет большой интерес для специалистов по информационной безопасности. Компания Dr.Web советует пользователям загружать только оригинальные ISO-образы операционных систем и только с сайтов производителей.