Специалисты компании Dr.Web обнаружили стилер в нелицензионных сборках Windows 10, которые хакеры раздавали на одном из торрент-трекеров.
Вредоносное приложение под названием Trojan.Clipper.231 заменяет адреса криптовалютных кошельков получателя в буфере обмена на адреса мошенников. По данным аналитиков Dr.Web, с помощью стилера хакерам удалось украсть почти $19 000 в криптовалюте.
Вредоносное ПО было обнаружено в конце мая 2023 года, когда один из клиентов компании Dr.Web сообщил о заражении своего компьютера стилером. Тогда угроза была удалена. Однако выяснилось, что ОС клиента была неофициальной сборкой, и троянские программы были в нее внедрены заранее. Дальнейшее расследование показало, что существует несколько таких заражённых сборок Windows:
- Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso;
- Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso;
- Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso;
- Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso;
- Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso.
Все сборки были доступны для загрузки на одном из торрент-трекеров, но нельзя исключать, что хакеры используют и другие сайты для распространения зараженных образов системы.
Запуск стилера происходит поэтапно. На первом этапе через системный планировщик задач активируется вредоносная программа Trojan.MulDrop22.7578, которая выполняет следующие функции:
- подключить системный EFI-раздел к диску M:;
- скопировать на диск два других компонента трояна ( Trojan.MulDrop22.7578 и Trojan.Inject4.57873 );
- удалить исходные троянские файлы с диска C:;
- запустить Trojan.Inject4.57873 и отключить EFI-раздел.
Затем Trojan.Inject4.57873 с помощью техники Process Hollowing (подмена, опустошение процесса) внедряет Trojan.Clipper.231 в системный процесс “%WINDIR%System32Lsaiso.exe”, после чего стилер начинает работать в контексте процесса.
После получения контроля Trojan.Clipper.231 следит за буфером обмена и заменяет скопированные адреса криптокошельков на адреса, заданные хакерами. При этом у стилера есть ряд ограничений:
- Во-первых, он начинает замену адресов только при наличии системного файла “%WINDIR%INFscunown.inf”;
- Во-вторых, троян проверяет активные процессы. Если он находит процессы некоторых приложений, опасных для него, то замена адресов криптокошельков не происходит.
По данным Dr.Web, с помощью стилера Trojan.Clipper.231 хакеры украли 0.73406362 BTC и 0.07964773 ETH, что составляет около $18 976.
Внедрение вредоносных программ в EFI-раздел компьютеров является довольно редким вектором атаки. Поэтому данный случай представляет большой интерес для специалистов по информационной безопасности. Компания Dr.Web советует пользователям загружать только оригинальные ISO-образы операционных систем и только с сайтов производителей.