Классический форум-трекер
canvas not supported
Нас вместе: 4 245 989

В ряде неофициальных сборок Windows обнаружен стилер для кражи криптовалюты, который проникает в EFI-раздел


Страницы:  1, 2, 3, 4, 5, 6, 7  След. 
 
RSS
Начать новую тему   Ответить на тему    Торрент-трекер NNM-Club -> Компьютеры и комплектующие -> Компьютерные новости
Автор Сообщение
Maximus ®
Вольный стрелок
Uploader 100+
Стаж: 18 лет 2 мес.
Сообщений: 5503
Ratio: 25.234
Поблагодарили: 13341
100%
nnm-club.gif
Компания «Доктор Веб» выявила троянскую программу-стилер в ряде неофициальных сборок ОС Windows 10, которые злоумышленники распространяли через один из торрент-трекеров. Получившее имя Trojan.Clipper.231, это вредоносное приложение подменяет адреса криптокошельков в буфере обмена на адреса, заданные мошенниками. На данный момент с его помощью злоумышленникам удалось похитить криптовалюту на сумму, эквивалентную порядка $19 000.



В конце мая 2023 года в компанию «Доктор Веб» обратился клиент с подозрением на заражение компьютера под управлением ОС Windows 10. Проведенный специалистами анализ подтвердил факт присутствия троянских программ в системе —стилера Trojan.Clipper.231, а также вредоносных приложений Trojan.MulDrop22.7578 и Trojan.Inject4.57873, осуществлявших его запуск. Вирусная лаборатория «Доктор Веб» успешно локализовала все эти угрозы и справилась с их обезвреживанием.

В то же время выяснилось, что целевая ОС являлась неофициальной сборкой, и вредоносные программы были встроены в нее изначально. Дальнейшее исследование позволило выявить несколько таких зараженных сборок Windows:

Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso
Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso

Все они были доступны для скачивания на одном из торрент-трекеров, однако нельзя исключать, что злоумышленники используют и другие сайты для распространения инфицированных образов системы.

Вредоносные программы в этих сборках расположены в системном каталоге:Инициализация стилера происходит в несколько стадий. На первом этапе через системный планировщик задач запускается вредоносная программа Trojan.MulDrop22.7578:

%SystemDrive%\Windows\Installer\iscsicli.exe
Ее задача — смонтировать системный EFI-раздел на диск M:\, скопировать на него два других компонента, после чего удалить оригиналы троянских файлов с диска C:\, запустить Trojan.Inject4.57873 и размонтировать EFI-раздел.

В свою очередь, Trojan.Inject4.57873 с использованием техники Process Hollowing внедряет Trojan.Clipper.231 в системный процесс %WINDIR%\\System32\\Lsaiso.exe, после чего стилер начинает работать в его контексте.

Получив управление, Trojan.Clipper.231 приступает к отслеживанию буфера обмена и подменяет скопированные адреса криптокошельков на адреса, заданные злоумышленниками. При этом у него имеется рад ограничений. Во-первых, выполнять подмену он начинает только при наличии системного файла %WINDIR%\\INF\\scunown.inf. Во-вторых, троян проверяет активные процессы. Если он обнаруживает процессы ряда опасных для него приложений, то подмену адресов криптокошельков не производит.

Внедрение вредоносных программ в EFI-раздел компьютеров как вектор атаки по-прежнему встречается весьма редко. Поэтому выявленный случай представляет большой интерес для специалистов по информационной безопасности.

По подсчетам наших вирусных аналитиков, на момент публикации этой новости с помощью стилера Trojan.Clipper.231 злоумышленники украли 0.73406362 BTC и 0.07964773 ETH, что примерно эквивалентно сумме $18 976,29 или 1 568 233 рубля.
Источник

_________________
⚡️ На Новый год РКН разблокирует YouTube ровно на 5 минут, чтобы все смогли посмотреть обращение президента
Eastoop
Модератор Книг и Программ
Стаж: 15 лет 7 мес.
Сообщений: 28196
Ratio: 440.362
Поблагодарили: 171700
100%
russia.gif
По результатам проверки всех сборок от BoJlIIIebnik получены следующие результаты:
В самых первых релизах
Windows 10 Pro 22H2 (build 19045.2251) x64 by BoJlIIIebnik [Ru]
Windows 11 Pro 22H2 (build 22621.819) x64 by BoJlIIIebnik [RU]
"волшебного" пакета файлов не обнаружено. Но это, отнюдь, не означает, что там все чисто.

В последних четырех раздачах
Windows 11 Pro 22H2 (build 22621.1702) x64 by BoJlIIIebnik [Ru/En]
Windows 11 Pro 22H2 (build 22621.1702) + Office 2021 x64 by BoJlIIIebnik [Ru/En]
Windows 10 Pro 22H2 (build 19045.2965) by BoJlIIIebnik [Ru/En]
Windows 10 Pro 22H2 (build 19045.2965) + Office 2021 x64 by BoJlIIIebnik [Ru/En]
тоже пакета с вирусами не обнаружено. Но это не значит, что их там нет. Возможно автор их спрятал поглубже, а не в папку Installer.

Во всех остальных сборках присутствует "волшебный" пакет файлов. Причем в каждой версии сборки свой. То есть исключена возможность случайного попадания, потому что брались оригинальные системные файлы из system32 и модифицировались. Добавлялась вирусная составляющая и поддельная цифровая подпись.

Оригинальные системные файлы не снабжены общеупотребительной цифровой подписью.
Casper1313
Куратор Программ
Доброе привидение
Меценат
Стаж: 13 лет 9 мес.
Сообщений: 14637
Ratio: 197.977
Поблагодарили: 142089
100%
Откуда: Потусторонний мир
turkey.gif
Проанализировав все предоставленные доказательства, сборщик занесён в Список сборщиков, релизы которых запрещены к размещению на страницах Клуба
Все его релизы сборок удалены.

Большое спасибо всем принявшим в деле участие (в частности тому, кто заслал в Dr.Web обращение)! Друзья
Экспертам Dr.Web, за подробное и грамотное описание зловреда.

_________________
Эффективное использование кнута существенно экономит пряники.
Ставить хорошие оценки пробовали? Попробуйте, может не все так плохо в этом мире? © NorthOn
raddy
Только чтение
Стаж: 15 лет 2 мес.
Сообщений: 3320
Ratio: 30.8
Раздал: 62.21 TB
Поблагодарили: 4169
72.68%
ukraine.gif
В Windows 11 Pro 22H2 (build 22621.1635) + Office 2021 x64 by BoJlIIIebnik [Ru/En] ещё с месяц назад троян обнаружили на "известном трекере", но тема продолжения не получила.

_________________
ДетиДоедалиКоня
Только чтение
Стаж: 12 лет 2 мес.
Сообщений: 247
Ratio: 75.31
100%
Откуда: New York
usa.gif
во мутят, тож так хочу :ангел:
MihailM
Стаж: 17 лет 11 мес.
Сообщений: 137
Ratio: 2.844
0.18%
russia.gif
Вот поэтому нельзя доверять сборкам.. Мало что , как в статье , так может быть всякого рода проблемы..
trxtr
Стаж: 12 лет 10 мес.
Сообщений: 247
Ratio: 41.88
100%
Откуда: идут эти мысли?
krevedko.png
Еще с незапямятных времен заимел привычку ставить только с официальных образов.
И честно, никогда не понимал, для чего качают эти сборки.
sailorxakep
Стаж: 11 лет 10 мес.
Сообщений: 749
Ratio: 39.819
Раздал: 9.369 TB
Поблагодарили: 510
100%
Откуда: с корабля Куда: на бал
pirates.png
И впрямь - Волшебник. Только злой. Косвенно подорвал доверие и к остальным авторам сборок. Похоже, что пора возвращаться к использованию оригинальных дистрибутивов и самому доводить их до ума.

trxtr писал(а): Перейти к сообщению
Еще с незапямятных времен заимел привычку ставить только с официальных образов.
И честно, никогда не понимал, для чего качают эти сборки.

А вот это достаточно легко объяснить. Я, например, уже много лет не использую Windows. У меня нет ни желания, ни необходимости следить за всеми его изменениями. Но есть знакомые, которые 1-2 раза в год просят переустановить им винду - "тыжайтишник, чё тебе сложно что ли?" :-D Вот мне реально лень каждый раз разбираться что там за это время изменилось, что теперь надо отключать, добавлять, изменять и т.д. Проще взять готовую сборку от проверенного автора, установить и забыть ещё на полгода-год, а то и дольше.

А есть люди, которые вообще далеки от всего этого, но вполне могут установить Windows по картинкам. Для них тоже сборки - спасение.

А когда админил Windows на работе, то там - да, безусловно использовались только оригинальные дистрибутивы, с последующей доработкой напильником.
zooloogorbonos
Стаж: 11 лет
Сообщений: 537
Ratio: 5.593
94.79%
Откуда: ЧеГнобыль
ussr.gif
Да ладно вам, вон у OVGorskiy 13 лет стажа, и только скажите, что ему нельзя доверять. А вот у новеньких (сколько там у Волшебника стажа?) запросто может быть такое

_________________
i7 13700f+32 Gb Ram+Gigabyte Gaming OC 4090+Монитор LG 24UD58-B (24*4К)+Win10. Раскрытие 100500%
vng23
Стаж: 11 лет 6 мес.
Сообщений: 58
Ratio: 4.735
Раздал: 3.249 TB
0.33%
ukraine.gif
Так админы уже почистили клуб от таких сборок?
 !  Примечание от NorthOn:
админы уже почистили клуб от таких сборок
a7777777
Стаж: 14 лет 4 мес.
Сообщений: 486
Ratio: 8.823
Поблагодарили: 1287
0.39%
germany.gif
Доктор Вэб как всегда на высоте. Не зря доверяю ему уже много-много лет. Спасибо.
bond07
Стаж: 14 лет 11 мес.
Сообщений: 196
Ratio: 7.463
0.23%
russia.gif
в середине 200х годов др.веб помог нам поднять штук 40 машин в организации, мс-дос вариант. каспер не помог тогда
Zlodey_51
Стаж: 13 лет 10 мес.
Сообщений: 138
Ratio: 60.566
100%
russia.gif
Ленивые должны страдать. Только чистый образ, только MSDN.
Alex_San
Стаж: 14 лет 3 мес.
Сообщений: 38
Ratio: 27.901
Поблагодарили: 479
100%
russia.gif
На Virustotal DrWeb не ловит как раз этот файл ( в отличии от обхаянного касперского )
https://www.virustotal.com/gui/file/55d60b23de12ff202073e6d26cf1c32e0e22fbf80e1d5ed7ee7ac1ba4a44feaf
namare
Стаж: 12 лет 8 мес.
Сообщений: 18
Ratio: 76.352
100%
Отличная работа! Вот к чему приводит магия вне Хогвартса
Показать сообщения:   
Начать новую тему   Ответить на тему    Торрент-трекер NNM-Club -> Компьютеры и комплектующие -> Компьютерные новости Часовой пояс: GMT + 3
Страницы:  1, 2, 3, 4, 5, 6, 7  След.
Страница 1 из 7