| blogz | Дата: Среда, 14.06.2023, 21:15 | Сообщение # 1 |
Группа: Администраторы
Сообщений: 22
Статус: Оффлайн
| Компания «Доктор Веб» выявила троянскую программу-стилер в ряде неофициальных сборок ОС Windows 10, которые
злоумышленники распространяли через один из торрент-трекеров. Получившее
имя Trojan.Clipper.231, это вредоносное приложение подменяет адреса криптокошельков в буфере
обмена на адреса, заданные мошенниками. На данный момент с его помощью
злоумышленникам удалось похитить криптовалюту на сумму, эквивалентную
порядка $19 000.В конце мая 2023 года в компанию «Доктор Веб» обратился клиент с подозрением на заражение компьютера под управлением ОС Windows 10.
Проведенный нашими специалистами анализ подтвердил факт присутствия
троянских программ в системе —стилера Trojan.Clipper.231, а также вредоносных приложений Trojan.MulDrop22.7578 и Trojan.Inject4.57873, осуществлявших его запуск. Вирусная лаборатория «Доктор Веб» успешно
локализовала все эти угрозы и справилась с их обезвреживанием.
В то же время выяснилось, что целевая ОС являлась неофициальной сборкой, и вредоносные программы были встроены в нее изначально.
Дальнейшее исследование позволило выявить несколько таких зараженных
сборок Windows:- Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso
- Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso
Все они были доступны для скачивания на одном из торрент-трекеров, однако нельзя исключать, что злоумышленники используют и другие сайты
для распространения инфицированных образов системы.Вредоносные программы в этих сборках расположены в системном каталоге:- \Windows\Installer\iscsicli.exe (Trojan.MulDrop22.7578)
- \Windows\Installer\recovery.exe (Trojan.Inject4.57873)
- \Windows\Installer\kd_08_5e78.dll (Trojan.Clipper.231)
Инициализация стилера происходит в несколько стадий. На первом этапе через системный планировщик задач запускается вредоносная программа Trojan.MulDrop22.7578:%SystemDrive%\Windows\Installer\iscsicli.exeЕе задача — смонтировать системный EFI-раздел на диск M:\, скопировать на него два других компонента, после чего удалить оригиналы троянских файлов с диска C:\, запустить Trojan.Inject4.57873 и размонтировать EFI-раздел.В свою очередь, Trojan.Inject4.57873 с использованием техники Process Hollowing внедряет Trojan.Clipper.231 в системный процесс %WINDIR%\\System32\\Lsaiso.exe, после чего стилер начинает работать в его контексте.Получив управление, Trojan.Clipper.231 приступает к отслеживанию буфера обмена и подменяет скопированные
адреса криптокошельков на адреса, заданные злоумышленниками. При этом у
него имеется рад ограничений. Во-первых, выполнять подмену он начинает
только при наличии системного файла %WINDIR%\\INF\\scunown.inf. Во-вторых, троян проверяет активные процессы. Если он обнаруживает
процессы ряда опасных для него приложений, то подмену адресов
криптокошельков не производит.Внедрение вредоносных программ в EFI-раздел компьютеров как вектор атаки по-прежнему встречается весьма редко. Поэтому выявленный случай
представляет большой интерес для специалистов по информационной
безопасности.По подсчетам наших вирусных аналитиков, на момент публикации этой новости с помощью стилера Trojan.Clipper.231 злоумышленники украли 0.73406362 BTC и 0.07964773 ETH, что примерно эквивалентно сумме $18 976,29 или 1 568 233 рубля.Наш сайт рекомендует пользователям скачивать программы и ОС Windows только из проверенных источников.
|
| |
| |
Статьи: 9536
Мысли: 0
Всего: 176
Админ: 1
Модераторы: 0
Журналисты: 12
Проверенные: 5
Пользователи: 158
Парней: 142
Девушек: 34