Los piratas informáticos están distribuyendo Windows 10 utilizando torrents que ocultan a los secuestradores de criptomonedas en la partición EFI (Interfaz de firmware extensible) para evadir la detección.
La partición EFI es una pequeña partición del sistema que contiene el gestor de arranque y los archivos relacionados que se ejecutan antes del inicio del sistema operativo. Es esencial para los sistemas alimentados por UEFI que reemplazan el BIOS ahora obsoleto.
Ha habido ataques que utilizan particiones EFI modificadas para activar malware desde fuera del contexto del sistema operativo y sus herramientas de defensa, como en el caso de BlackLotus . Sin embargo, los ISO piratas de Windows 10 descubiertos por los investigadores de Dr. Web simplemente usan EFI como un espacio de almacenamiento seguro para los componentes del clipper.
Dado que las herramientas antivirus estándar no suelen escanear la partición EFI, el malware puede pasar por alto las detecciones de virus.
El informe de Dr. Web explica que las compilaciones maliciosas de Windows 10 ocultan las siguientes aplicaciones en el directorio del sistema:
- \Windows\Installer\iscsicli.exe (cuentagotas)
- \Windows\Installer\recovery.exe (inyector)
- \Windows\Installer\kd_08_5e78.dll (clipper)
Carpeta del instalador en la imagen ISO de Windows Cuando el sistema operativo se instala mediante la ISO, se crea una tarea programada para iniciar un cuentagotas llamado iscsicli.exe, que monta la partición EFI como la unidad "M:\". Una vez montado, el cuentagotas copia los otros dos archivos, recovery.exe y kd_08_5e78.dll, en la unidad C:\.
A continuación, se inicia Recovery.exe, que inyecta la DLL del malware clipper en el proceso legítimo del sistema %WINDIR%\System32\Lsaiso.exe a través del vaciado del proceso.
Después de ser inyectado, el clipper verificará si existe el archivo C:\Windows\INF\scunown.inf o si se está ejecutando alguna herramienta de análisis, como Process Explorer, Task Manager, Process Monitor, ProcessHacker, etc.
Si se detectan, el clipper no sustituirá las direcciones de las billeteras criptográficas para evadir la detección por parte de los investigadores de seguridad.
Una vez que el clipper se esté ejecutando, monitoreará el portapapeles del sistema en busca de direcciones de billetera de criptomonedas. Si se encuentran, se reemplazan sobre la marcha con direcciones bajo el control del atacante.
Esto permite a los actores de amenazas redirigir los pagos a sus cuentas, lo que, según Dr. Web, les ha generado al menos $ 19,000 en criptomonedas en las direcciones de billetera que los investigadores pudieron identificar.
Estas direcciones se extrajeron de la siguiente ISO de Windows compartida en sitios de torrents, pero Dr. Web advierte que podría haber más:
- Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 de BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 por BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2846 x64 por BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 de BoJlIIIebnik [RU, EN].iso
- Windows 10 Pro 22H2 19045.2913 x64 de BoJlIIIebnik [RU, EN].iso
Se deben evitar las descargas de sistemas operativos pirateados porque pueden ser peligrosas, ya que quienes crean las compilaciones no oficiales pueden ocultar fácilmente el malware persistente.
