Специалисты компании Dr.Web обнаружили стилер в нелицензионных сборках Windows 10, которые хакеры раздавали на одном из торрент-трекеров.
Вредоносное приложение под названием Trojan.Clipper.231 заменяет адреса криптовалютных кошельков получателя в буфере обмена на адреса мошенников. По данным аналитиков Dr.Web, с помощью стилера хакерам удалось украсть почти $19 000 в криптовалюте.
Вредоносное ПО было обнаружено в конце мая 2023 года, когда один из клиентов компании Dr.Web сообщил о заражении своего компьютера стилером. Тогда угроза была удалена. Однако выяснилось, что ОС клиента была неофициальной сборкой, и троянские программы были в нее внедрены заранее. Дальнейшее расследование показало, что существует несколько таких заражённых сборок Windows:
Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso;
Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso;
Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso;
Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso;
Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso.
Все сборки были доступны для загрузки на одном из торрент-трекеров, но нельзя исключать, что хакеры используют и другие сайты для распространения зараженных образов системы.
Запуск стилера происходит поэтапно. На первом этапе через системный планировщик задач активируется вредоносная программа Trojan.MulDrop22.7578, которая выполняет следующие функции:
подключить системный EFI-раздел к диску M:;
скопировать на диск два других компонента трояна ( Trojan.MulDrop22.7578 и Trojan.Inject4.57873 );
удалить исходные троянские файлы с диска C:;
запустить Trojan.Inject4.57873 и отключить EFI-раздел.
Затем Trojan.Inject4.57873 с помощью техники Process Hollowing (подмена, опустошение процесса) внедряет Trojan.Clipper.231 в системный процесс «%WINDIR%\System32\Lsaiso.exe», после чего стилер начинает работать в контексте процесса.
После получения контроля Trojan.Clipper.231 следит за буфером обмена и заменяет скопированные адреса криптокошельков на адреса, заданные хакерами. При этом у стилера есть ряд ограничений:
Во-первых, он начинает замену адресов только при наличии системного файла «%WINDIR%\INF\scunown.inf»;
Во-вторых, троян проверяет активные процессы. Если он находит процессы некоторых приложений, опасных для него, то замена адресов криптокошельков не происходит.
По данным Dr.Web, с помощью стилера Trojan.Clipper.231 хакеры украли 0.73406362 BTC и 0.07964773 ETH, что составляет около $18 976.
Внедрение вредоносных программ в EFI-раздел компьютеров является довольно редким вектором атаки. Поэтому данный случай представляет большой интерес для специалистов по информационной безопасности. Компания Dr.Web советует пользователям загружать только оригинальные ISO-образы операционных систем и только с сайтов производителей.
> > Ну зачем нужны пиратки, если валидный ключ на винду или офис стоит, как обед в общепите.
>
> Ну, многих людей, например, стоят старые компутеры/ноуты. Которые выше хрюши или семерки ничего не тянут. А их поддержку мелгомякие отменили.
Всё равно можно скачать где-нибудь оф. версию старой виндоус + найти KMS-активатор.
С этими ключами с ебэя или алиэкспресса регулярно требуется активация продукта по телефону. А майкрософт из России свалил и активации по телефону больше нету. Как и скачивания дистрибутива с официального сайта без танцев с бубнами.
Который тащит только ХР давно пора на свалку. 7-ка спокойно ставится с оригинального образа и активируется.
Все эти сборки - риск. Всегда лучше ставить с оригинального образ от МС.
О, у меня как с такого образа винда накатана [начинает бегать в панике, но потом вспоминает что криптой не пользуется]
Но есть одна проблема, винда у меня исключительно для игОр и то, после того как я открыл для себя волшебный proton от valve, винда мне всё меньше нужна. Но таки придётся переустановить, да.
Ты всегда можешь скачать msdn версию оригинального образа с торрента, на официальном сайте взять хеш-сумму официального образа и проверить, тот образ, что скачал. Если всё хорошо, то можно смело устанавливать. А каким образом активировать решай сам.
> Ты всегда можешь скачать msdn версию оригинального образа с торрента, на официальном сайте взять хеш-сумму официального образа и проверить, тот образ, что скачал. Если всё хорошо, то можно смело устанавливать. А каким образом активировать решай сам.
Ты понимаешь, что все тобой выше написанное для среднего пользователя звучит как бессмысленная тарабанщина или неизвестные матюки?))
Сейчас, сейчас
идиот »
Вредоносное приложение под названием Trojan.Clipper.231 заменяет адреса криптовалютных кошельков получателя в буфере обмена на адреса мошенников. По данным аналитиков Dr.Web, с помощью стилера хакерам удалось украсть почти $19 000 в криптовалюте.
Вредоносное ПО было обнаружено в конце мая 2023 года, когда один из клиентов компании Dr.Web сообщил о заражении своего компьютера стилером. Тогда угроза была удалена. Однако выяснилось, что ОС клиента была неофициальной сборкой, и троянские программы были в нее внедрены заранее. Дальнейшее расследование показало, что существует несколько таких заражённых сборок Windows:
Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso;
Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso;
Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso;
Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso;
Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso.
Все сборки были доступны для загрузки на одном из торрент-трекеров, но нельзя исключать, что хакеры используют и другие сайты для распространения зараженных образов системы.
Запуск стилера происходит поэтапно. На первом этапе через системный планировщик задач активируется вредоносная программа Trojan.MulDrop22.7578, которая выполняет следующие функции:
подключить системный EFI-раздел к диску M:;
скопировать на диск два других компонента трояна ( Trojan.MulDrop22.7578 и Trojan.Inject4.57873 );
удалить исходные троянские файлы с диска C:;
запустить Trojan.Inject4.57873 и отключить EFI-раздел.
Затем Trojan.Inject4.57873 с помощью техники Process Hollowing (подмена, опустошение процесса) внедряет Trojan.Clipper.231 в системный процесс «%WINDIR%\System32\Lsaiso.exe», после чего стилер начинает работать в контексте процесса.
После получения контроля Trojan.Clipper.231 следит за буфером обмена и заменяет скопированные адреса криптокошельков на адреса, заданные хакерами. При этом у стилера есть ряд ограничений:
Во-первых, он начинает замену адресов только при наличии системного файла «%WINDIR%\INF\scunown.inf»;
Во-вторых, троян проверяет активные процессы. Если он находит процессы некоторых приложений, опасных для него, то замена адресов криптокошельков не происходит.
По данным Dr.Web, с помощью стилера Trojan.Clipper.231 хакеры украли 0.73406362 BTC и 0.07964773 ETH, что составляет около $18 976.
Внедрение вредоносных программ в EFI-раздел компьютеров является довольно редким вектором атаки. Поэтому данный случай представляет большой интерес для специалистов по информационной безопасности. Компания Dr.Web советует пользователям загружать только оригинальные ISO-образы операционных систем и только с сайтов производителей.