Специалисты компании Dr.Web обнаружили стилер в нелицензионных сборках Windows 10, которые хакеры раздавали на одном из торрент-трекеров.
Вредоносное приложение под названием Trojan.Clipper.231 заменяет адреса криптовалютных кошельков получателя в буфере обмена на адреса мошенников. По данным аналитиков Dr.Web, с помощью стилера хакерам удалось украсть почти $19 000 в криптовалюте.
Вредоносное ПО было обнаружено в конце мая 2023 года, когда один из клиентов компании Dr.Web сообщил о заражении своего компьютера стилером. Тогда угроза была удалена. Однако выяснилось, что ОС клиента была неофициальной сборкой, и троянские программы были в нее внедрены заранее. Дальнейшее расследование показало, что существует несколько таких заражённых сборок Windows:
Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso;
Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso;
Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso;
Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso;
Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso.
Все сборки были доступны для загрузки на одном из торрент-трекеров, но нельзя исключать, что хакеры используют и другие сайты для распространения зараженных образов системы.
Запуск стилера происходит поэтапно. На первом этапе через системный планировщик задач активируется вредоносная программа Trojan.MulDrop22.7578, которая выполняет следующие функции:
подключить системный EFI-раздел к диску M:;
скопировать на диск два других компонента трояна ( Trojan.MulDrop22.7578 и Trojan.Inject4.57873 );
удалить исходные троянские файлы с диска C:;
запустить Trojan.Inject4.57873 и отключить EFI-раздел.
Затем Trojan.Inject4.57873 с помощью техники Process Hollowing (подмена, опустошение процесса) внедряет Trojan.Clipper.231 в системный процесс «%WINDIR%\System32\Lsaiso.exe», после чего стилер начинает работать в контексте процесса.
После получения контроля Trojan.Clipper.231 следит за буфером обмена и заменяет скопированные адреса криптокошельков на адреса, заданные хакерами. При этом у стилера есть ряд ограничений:
Во-первых, он начинает замену адресов только при наличии системного файла «%WINDIR%\INF\scunown.inf»;
Во-вторых, троян проверяет активные процессы. Если он находит процессы некоторых приложений, опасных для него, то замена адресов криптокошельков не происходит.
По данным Dr.Web, с помощью стилера Trojan.Clipper.231 хакеры украли 0.73406362 BTC и 0.07964773 ETH, что составляет около $18 976.
Внедрение вредоносных программ в EFI-раздел компьютеров является довольно редким вектором атаки. Поэтому данный случай представляет большой интерес для специалистов по информационной безопасности. Компания Dr.Web советует пользователям загружать только оригинальные ISO-образы операционных систем и только с сайтов производителей.
> > Ну зачем нужны пиратки, если валидный ключ на винду или офис стоит, как обед в общепите. > > Ну, многих людей, например, стоят старые компутеры/ноуты. Которые выше хрюши или семерки ничего не тянут. А их поддержку мелгомякие отменили.
Всё равно можно скачать где-нибудь оф. версию старой виндоус + найти KMS-активатор.
С этими ключами с ебэя или алиэкспресса регулярно требуется активация продукта по телефону. А майкрософт из России свалил и активации по телефону больше нету. Как и скачивания дистрибутива с официального сайта без танцев с бубнами.
Который тащит только ХР давно пора на свалку. 7-ка спокойно ставится с оригинального образа и активируется.
Все эти сборки - риск. Всегда лучше ставить с оригинального образ от МС.
О, у меня как с такого образа винда накатана [начинает бегать в панике, но потом вспоминает что криптой не пользуется]
Но есть одна проблема, винда у меня исключительно для игОр и то, после того как я открыл для себя волшебный proton от valve, винда мне всё меньше нужна. Но таки придётся переустановить, да.
Ты всегда можешь скачать msdn версию оригинального образа с торрента, на официальном сайте взять хеш-сумму официального образа и проверить, тот образ, что скачал. Если всё хорошо, то можно смело устанавливать. А каким образом активировать решай сам.
> Ты всегда можешь скачать msdn версию оригинального образа с торрента, на официальном сайте взять хеш-сумму официального образа и проверить, тот образ, что скачал. Если всё хорошо, то можно смело устанавливать. А каким образом активировать решай сам.
Ты понимаешь, что все тобой выше написанное для среднего пользователя звучит как бессмысленная тарабанщина или неизвестные матюки?))
Вредоносное приложение под названием Trojan.Clipper.231 заменяет адреса криптовалютных кошельков получателя в буфере обмена на адреса мошенников. По данным аналитиков Dr.Web, с помощью стилера хакерам удалось украсть почти $19 000 в криптовалюте.
Вредоносное ПО было обнаружено в конце мая 2023 года, когда один из клиентов компании Dr.Web сообщил о заражении своего компьютера стилером. Тогда угроза была удалена. Однако выяснилось, что ОС клиента была неофициальной сборкой, и троянские программы были в нее внедрены заранее. Дальнейшее расследование показало, что существует несколько таких заражённых сборок Windows:
Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso;
Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso;
Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso;
Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso;
Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso.
Все сборки были доступны для загрузки на одном из торрент-трекеров, но нельзя исключать, что хакеры используют и другие сайты для распространения зараженных образов системы.
Запуск стилера происходит поэтапно. На первом этапе через системный планировщик задач активируется вредоносная программа Trojan.MulDrop22.7578, которая выполняет следующие функции:
подключить системный EFI-раздел к диску M:;
скопировать на диск два других компонента трояна ( Trojan.MulDrop22.7578 и Trojan.Inject4.57873 );
удалить исходные троянские файлы с диска C:;
запустить Trojan.Inject4.57873 и отключить EFI-раздел.
Затем Trojan.Inject4.57873 с помощью техники Process Hollowing (подмена, опустошение процесса) внедряет Trojan.Clipper.231 в системный процесс «%WINDIR%\System32\Lsaiso.exe», после чего стилер начинает работать в контексте процесса.
После получения контроля Trojan.Clipper.231 следит за буфером обмена и заменяет скопированные адреса криптокошельков на адреса, заданные хакерами. При этом у стилера есть ряд ограничений:
Во-первых, он начинает замену адресов только при наличии системного файла «%WINDIR%\INF\scunown.inf»;
Во-вторых, троян проверяет активные процессы. Если он находит процессы некоторых приложений, опасных для него, то замена адресов криптокошельков не происходит.
По данным Dr.Web, с помощью стилера Trojan.Clipper.231 хакеры украли 0.73406362 BTC и 0.07964773 ETH, что составляет около $18 976.
Внедрение вредоносных программ в EFI-раздел компьютеров является довольно редким вектором атаки. Поэтому данный случай представляет большой интерес для специалистов по информационной безопасности. Компания Dr.Web советует пользователям загружать только оригинальные ISO-образы операционных систем и только с сайтов производителей.