Hackers estão distribuindo o Windows 10 através de torrents que escondem sequestradores de criptomoedas na partição EFI (Extensible Firmware Interface) para evitar detecção.
A partição EFI é uma pequena partição de sistema contendo o bootloader e arquivos relacionados executados antes do início do sistema operacional.
É essencial para sistemas alimentados por UEFI que substituem o agora obsoleto BIOS.
Houve ataques utilizando partições EFI modificadas para ativar malware fora do contexto do sistema operacional e suas ferramentas de defesa, como no caso de BlackLotus.
No entanto, as ISOs pirateadas do Windows 10 descobertas pelos pesquisadores da Dr.
Web simplesmente usam a EFI como um espaço de armazenamento seguro para os componentes de clipper.
Como as ferramentas antivírus padrão não examinam comumente a partição EFI, o malware pode potencialmente contornar as detecções de malware.
O relatório da Dr.
Web explica que as compilações maliciosas do Windows 10 escondem os seguintes aplicativos no diretório do sistema.
Quando o sistema operacional é instalado usando a ISO, uma tarefa agendada é criada para lançar um dropper chamado iscsicli.exe, que monta a partição EFI como a unidade "M:\".
Uma vez montado, o dropper copia os outros dois arquivos, recovery.exe e kd_08_5e78.dll, para a unidade C:\.
Recovery.exe é então lançado, que injeta o malware de clipper DLL no processo do sistema legítimo %WINDIR%\System32\Lsaiso.exe via process hollowing.
Depois de ser injetado, o clipper verificará se o arquivo C:\Windows\INF\scunown.inf existe ou se alguma ferramenta de análise está sendo executada, como o Process Explorer, Gerenciador de Tarefas, Monitor de Processos, ProcessHacker, etc.
Se detectado, o clipper não substituirá os endereços da carteira cripto para evitar detecção por pesquisadores de segurança.
Uma vez que o clipper está em execução, ele monitorará a área de transferência do sistema para endereços de carteira cripto.
Se algum for encontrado, eles serão substituídos instantaneamente por endereços sob o controle do atacante.
Isso permite que os atores da ameaça redirecionem pagamentos para suas contas, o que, segundo a Dr.
Web, lhes rendeu pelo menos US$ 19.000 em criptomoedas nos endereços de carteira que os pesquisadores conseguiram identificar.
Esses endereços foram extraídos da seguinte ISO do Windows compartilhada em sites de torrent, mas a Dr. Web adverte que pode haver mais por aí.
O download de sistemas operacionais pirateados deve ser evitado, pois aqueles que criam as compilações não oficiais podem facilmente esconder malware persistente.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...