ISOs pirateados do Windows 10 instalam malware clipper por meio de partições EFI
14 de Junho de 2023

Hackers estão distribuindo o Windows 10 através de torrents que escondem sequestradores de criptomoedas na partição EFI (Extensible Firmware Interface) para evitar detecção.

A partição EFI é uma pequena partição de sistema contendo o bootloader e arquivos relacionados executados antes do início do sistema operacional.

É essencial para sistemas alimentados por UEFI que substituem o agora obsoleto BIOS.

Houve ataques utilizando partições EFI modificadas para ativar malware fora do contexto do sistema operacional e suas ferramentas de defesa, como no caso de BlackLotus.

No entanto, as ISOs pirateadas do Windows 10 descobertas pelos pesquisadores da Dr.

Web simplesmente usam a EFI como um espaço de armazenamento seguro para os componentes de clipper.

Como as ferramentas antivírus padrão não examinam comumente a partição EFI, o malware pode potencialmente contornar as detecções de malware.

O relatório da Dr.

Web explica que as compilações maliciosas do Windows 10 escondem os seguintes aplicativos no diretório do sistema.

Quando o sistema operacional é instalado usando a ISO, uma tarefa agendada é criada para lançar um dropper chamado iscsicli.exe, que monta a partição EFI como a unidade "M:\".

Uma vez montado, o dropper copia os outros dois arquivos, recovery.exe e kd_08_5e78.dll, para a unidade C:\.

Recovery.exe é então lançado, que injeta o malware de clipper DLL no processo do sistema legítimo %WINDIR%\System32\Lsaiso.exe via process hollowing.

Depois de ser injetado, o clipper verificará se o arquivo C:\Windows\INF\scunown.inf existe ou se alguma ferramenta de análise está sendo executada, como o Process Explorer, Gerenciador de Tarefas, Monitor de Processos, ProcessHacker, etc.

Se detectado, o clipper não substituirá os endereços da carteira cripto para evitar detecção por pesquisadores de segurança.

Uma vez que o clipper está em execução, ele monitorará a área de transferência do sistema para endereços de carteira cripto.

Se algum for encontrado, eles serão substituídos instantaneamente por endereços sob o controle do atacante.

Isso permite que os atores da ameaça redirecionem pagamentos para suas contas, o que, segundo a Dr.

Web, lhes rendeu pelo menos US$ 19.000 em criptomoedas nos endereços de carteira que os pesquisadores conseguiram identificar.

Esses endereços foram extraídos da seguinte ISO do Windows compartilhada em sites de torrent, mas a Dr. Web adverte que pode haver mais por aí.

O download de sistemas operacionais pirateados deve ser evitado, pois aqueles que criam as compilações não oficiais podem facilmente esconder malware persistente.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...