ISOs pirateados do Windows 10 instalam malware clipper por meio de partições EFI
14 de Junho de 2023

Hackers estão distribuindo o Windows 10 através de torrents que escondem sequestradores de criptomoedas na partição EFI (Extensible Firmware Interface) para evitar detecção.

A partição EFI é uma pequena partição de sistema contendo o bootloader e arquivos relacionados executados antes do início do sistema operacional.

É essencial para sistemas alimentados por UEFI que substituem o agora obsoleto BIOS.

Houve ataques utilizando partições EFI modificadas para ativar malware fora do contexto do sistema operacional e suas ferramentas de defesa, como no caso de BlackLotus.

No entanto, as ISOs pirateadas do Windows 10 descobertas pelos pesquisadores da Dr.

Web simplesmente usam a EFI como um espaço de armazenamento seguro para os componentes de clipper.

Como as ferramentas antivírus padrão não examinam comumente a partição EFI, o malware pode potencialmente contornar as detecções de malware.

O relatório da Dr.

Web explica que as compilações maliciosas do Windows 10 escondem os seguintes aplicativos no diretório do sistema.

Quando o sistema operacional é instalado usando a ISO, uma tarefa agendada é criada para lançar um dropper chamado iscsicli.exe, que monta a partição EFI como a unidade "M:\".

Uma vez montado, o dropper copia os outros dois arquivos, recovery.exe e kd_08_5e78.dll, para a unidade C:\.

Recovery.exe é então lançado, que injeta o malware de clipper DLL no processo do sistema legítimo %WINDIR%\System32\Lsaiso.exe via process hollowing.

Depois de ser injetado, o clipper verificará se o arquivo C:\Windows\INF\scunown.inf existe ou se alguma ferramenta de análise está sendo executada, como o Process Explorer, Gerenciador de Tarefas, Monitor de Processos, ProcessHacker, etc.

Se detectado, o clipper não substituirá os endereços da carteira cripto para evitar detecção por pesquisadores de segurança.

Uma vez que o clipper está em execução, ele monitorará a área de transferência do sistema para endereços de carteira cripto.

Se algum for encontrado, eles serão substituídos instantaneamente por endereços sob o controle do atacante.

Isso permite que os atores da ameaça redirecionem pagamentos para suas contas, o que, segundo a Dr.

Web, lhes rendeu pelo menos US$ 19.000 em criptomoedas nos endereços de carteira que os pesquisadores conseguiram identificar.

Esses endereços foram extraídos da seguinte ISO do Windows compartilhada em sites de torrent, mas a Dr. Web adverte que pode haver mais por aí.

O download de sistemas operacionais pirateados deve ser evitado, pois aqueles que criam as compilações não oficiais podem facilmente esconder malware persistente.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...