Bilgisayar korsanları, algılamadan kaçmak için EFI (genişletilebilir ürün yazılımı arayüzü) bölümündeki kripto para birimi korsanlarını gizleyen torrentleri kullanarak Windows 10'u dağıtıyor.
EFI bölümü, işletim sisteminin başlangıçtan önce yürütülen önyükleyiciyi ve ilgili dosyaları içeren küçük bir sistem bölümüdür. Şu anda gözlemci BIOS'un yerini alan UEFI ile çalışan sistemler için gereklidir.
Blacklotus örneğinde olduğu gibi, işletim sistemi ve savunma araçlarının dışından kötü amaçlı yazılımları etkinleştirmek için değiştirilmiş EFI bölümleri kullanan saldırılar olmuştur. Bununla birlikte, Dr. Web'deki araştırmacılar tarafından keşfedilen korsan Windows 10 ISO'ları EFI'yi sadece kesme bileşenleri için güvenli bir depolama alanı olarak kullanıyor.
Standart antivirüs araçları EFI bölümünü yaygın olarak taramadığından, kötü amaçlı yazılım potansiyel olarak kötü amaçlı yazılım algılamalarını atlayabilir.
Dr. Web'in raporu, kötü amaçlı Windows 10'un sistem dizininde aşağıdaki uygulamaları gizlediğini açıklıyor:
İşletim sistemi ISO kullanılarak yüklendiğinde, EFI bölümünü "M: \" sürücüsü olarak monte eden ISCSicli.exe adlı bir damlalık başlatmak için planlanmış bir görev oluşturulur. Droper monte edildikten sonra, diğer iki dosyayı kurtarma.exe ve kd_08_5e78.dll, C: \ Drive'a kopyalar.
Daha sonra Clipper kötü amaçlı yazılım DLL'yi meşru %Windir %\ System32 \ lsaiso.exe sistem işlemine işlem oyu ile enjekte eden kurtarma.Exe başlatılır.
Enjekte edildikten sonra Clipper, C: \ Windows \ Inf \ Scunown.inf dosyasının var olup olmadığını veya Process Gezgini, Görev Yöneticisi, Process Monitor, ProcessHacker vb.
Tespit edilirlerse, klips, güvenlik araştırmacıları tarafından tespit edilmek için kripto cüzdan adreslerinin yerini almayacaktır.
Clipper çalıştıktan sonra, kripto para birimi cüzdanı adresleri için sistem panosunun izlenmesi. Eğer bulunursa, saldırganın kontrolü altındaki adreslerle anında değiştirilirler.
Bu, tehdit aktörlerinin, Dr. Web'e göre, araştırmacıların tanımlayabildiği cüzdan adreslerinde en az 19.000 $ değerinde kripto para birimi yapan hesaplarına ödemeleri yönlendirmesine izin verir.
Bu adresler Torrent sitelerinde paylaşılan aşağıdaki Windows ISO'dan çıkarıldı, ancak Dr. Web orada daha fazla olabileceği konusunda uyarıyor:
Korsan işletim sistemi indirmelerinden kaçınılmalıdır, çünkü tehlikeli olabilirler, çünkü gayri resmi yapıları yaratanlar kalıcı kötü amaçlı yazılımları kolayca gizleyebilir.
QBOT kötü amaçlı yazılım, cihazları enfekte etmek için Windows Wordpad exe'yi kötüye kullanır
Microsoft: Windows 10 21H2 hizmetin sonuna ulaştı
Windows 10 KB5026435 ve KB5027215 Güncellemeler yayınlandı
Kurşun geçirmez Hoster, urfsnif, zeus kötü amaçlı yazılımları itmek için 3 yıl alır
Asylum Ambuscade hacker'ları siber suçları casuslukla karıştırın
Kaynak: Bleeping Computer