Pirated Windows 10 ISOs install clipper malware via EFI partitions
แฮ็กเกอร์กำลังแพร่กระจายไฟล์ Windows 10 โดยใช้ torrents ที่แอบซ่อนการ hijackers cryptocurrency ใน EFI partition (Extensible Firmware Interface) เพื่อหลบเลี่ยงการตรวจจับ EFI partition คือ partition ระบบขนาดเล็กที่มี bootloader และไฟล์ที่เกี่ยวข้องซึ่งเรียกทำงานก่อนที่จะเริ่มระบบปฏิบัติการ เป็นสิ่งจำเป็นสำหรับระบบ UEFI-powered systems ซึ่งจะมาแทนที่ BIOS ที่เลิกใช้แล้วในปัจจุบัน การโจมตีโดยใช้ EFI partition ที่ถูกดัดแปลงเพื่อเปิดใช้งานมัลแวร์จากภายนอกของระบบปฏิบัติการและเครื่องมือป้องกัน เช่นในกรณีของ BlackLotus ที่ใช้ไฟล์ ISO ของ Windows 10 แบบละเมิดลิขสิทธิ์ ถูกค้นพบโดยนักวิจัยที่ Dr. Web ใช้ EFI เป็นพื้นที่จัดเก็บที่ปลอดภัยสำหรับมัลแวร์ clipper เท่านั้น เนื่องจากเครื่องมือป้องกันไวรัสมักไม่สแกน EFI partition มัลแวร์จึงอาจข้หลบเลี่ยงการตรวจจับได้
รายงานของ Dr. Web อธิบายว่า Windows 10 builds ได้ซ่อนแอปที่เป็นอันตรายไว้ในไดเร็กทอรีระบบต่อไปนี้ 1. WindowsInstalleriscsicli.exe (dropper) 2. WindowsInstaller ecovery.exe (injector) 3. WindowsInstallerkd_08_5e78.dll (clipper) วิธีการทำงานคือ - เมื่อติดตั้งระบบปฏิบัติการโดยใช้ไฟล์ ISO ดังกล่าว scheduled task จะถูกสร้างขึ้นเพื่อเรียกใช้งาน dropper ชื่อ iscsicli.exe ซึ่งจะ mounts EFI partition เป็นไดรฟ์ M: เมื่อติดตั้งแล้ว dropper จะคัดลอกไฟล์อีกสองไฟล์คือ recovery.exe และ kd_08_5e78.dll ไปยังไดรฟ์ C: - จากนั้น Recovery.exe จะถูกเรียกใช้งาน ซึ่งมันจะ injects DLL ไฟล์ของมัลแวร์ clipper เข้าไปใน process %WINDIR%System32Lsaiso.exe - หลังจากนั้น Clipper จะตรวจสอบว่ามีไฟล์ C:WindowsINFscunown.inf อยู่หรือไม่ หรือมีเครื่องมือวิเคราะห์การทำงาน เช่น Process Explorer, Task Manager, Process Monitor, ProcessHacker อยู่หรือไม่ เป็นต้น - หากตรวจพบ Clipper จะไม่เปลี่ยนที่อยู่กระเป๋าเงินดิจิตอลเป็นของผู้โจมตี เพื่อหลบเลี่ยงการนำไปวิเคราะห์จากนักวิจัยด้านความปลอดภัย - เมื่อ Clipper ทำงาน มันจะตรวจสอบคลิปบอร์ดของระบบ เพื่อหาที่อยู่กระเป๋าเงินดิจิตอล หากพบ ข้อมูลจะถูกแทนที่ในทันทีด้วยที่อยู่กระเป๋าเงินดิจิตอลของผู้โจมตี
สาเหตุนี้จึงทำให้แฮ็กเกอร์สามารถเปลี่ยนเส้นทางการชำระเงินไปยังบัญชีของผู้โจมตีได้ ซึ่งตามรายงานของ Dr. Web มี cryptocurrency อย่างน้อย $19,000 ดอลลาร์ ที่อยู่ในกระเป๋าเงินของผู้โจมตีที่นักวิจัยสามารถระบุได้ ที่อยู่เหล่านี้ถูกดึงมาจาก ISO ของ Windows ที่แชร์บนเว็บไซต์ torrent แต่ Dr. Web ระบุว่าอาจมีมากกว่านี้ - Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso - Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso - Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso - Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso - Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso ผู้ใช้งานควรหลีกเลี่ยงการดาวน์โหลด OS ที่ละเมิดลิขสิทธิ์ เพราะอาจเป็นอันตรายจากมัลแวร์ที่ถูกซ่อนไว้ได้ แนะนำให้ดาวน์โหลด OS จาก เว็บไซต์ official หรือมีแหล่งที่มาที่น่าเชื่อถือเท่านั้น
https://www.bleepingcomputer.com/news/security/pirated-windows-10-isos-install-clipper-malware-via-efi-partitions/