Hijackers Cryptocurrency

พบแฮกเกอร์แจกจ่าย Windows 10 ผ่าน Torrents

By admin News

พาร์ติชัน EFI เป็นพาร์ติชันระบบขนาดเล็กที่มี Bootloader

พาร์ติชัน EFI เป็นพาร์ติชันระบบขนาดเล็กที่มี Bootloader และไฟล์ที่เกี่ยวข้องที่เรียกใช้งานก่อนเริ่มระบบปฏิบัติการ เป็นสิ่งสำคัญสำหรับระบบที่ขับเคลื่อนด้วย UEFI ซึ่งแทนที่ BIOS ที่ล้าสมัย 
การโจมตีเริ่มจากใช้พาร์ติชั่น EFI ที่ได้รับการดัดแปลงเพื่อเรียกใช้มัลแวร์จากภายนอกบนระบบปฏิบัติการ 

ระบบปฏิบัติการ Windows 10 เวอร์ชั่นละเมิดลิขสิทธิ์นั้นถูกค้นพบโดยนักวิจัยจาก Dr. Web ซึ่งได้ใช้ประโยชน์จาก EFI ที่เป็นพื้นที่เก็บข้อมูลปลอดภัยสำหรับ Clipper Components เท่านั้น และนอกจากนี้เครื่องมือป้องกันตามมาตรฐานทั่วไปนั้น มักจะไม่สแกนพาร์ติชัน EFI มัลแวร์จึงใช้ประโยชน์ในการเลี่ยงการตรวจจับได้ 

จากรายงานของ Dr. Web เผยว่า Windows 10 ที่ไม่ถูกต้องตามลิขสิทธิ์นั้น ได้ซ่อนแอพพลิเคชั่นต่อไปนี้          ใน System Directory : 

  1. \Windows\Installer\iscsicli.exe (dropper) 
  1. \Windows\Installer\recovery.exe (injector) 
  1. \Windows\Installer\kd_08_5e78.dll (clipper) 

เมื่อติดตั้งระบบปฏิบัติการโดยใช้ ISO แล้วนั้น Scheduled Task จะถูกสร้างขึ้นเพื่อเรียกใช้งาน Dropper ชื่อ iscsicli.exe ซึ่งจะ Mounts พาร์ติชัน EFI เป็นไดรฟ์ “M:\” เมื่อ Mounts แล้ว Dropper จะคัดลอกไฟล์อีกสองไฟล์ ได้แก่ recovery.exe และ kd_08_5e78.dll ไปยังไดรฟ์ C:\ จากนั้น recovery.exe จะถูกเปิดใช้งาน ซึ่งจะแทรก DLL ของมัลแวร์ Clipper เข้าไปในกระบวนการของระบบ %WINDIR%\System32\Lsaiso.exe ด้วยการโจมตีแบบ Process Hollowing 

หลังจาก Injection แล้ว Clipper จะตรวจสอบว่ามีไฟล์ C:\Windows\INF\scunown.inf อยู่หรือไม่ หรือมีเครื่องมือวิเคราะห์ใดๆ ทำงานอยู่หรือไม่ เช่น Process Explorer, Task Manager, Process Monitor, ProcessHacker เป็นต้น 

เมื่อ Clipper เริ่มการทำงาน จะทำการตรวจสอบคลิปบอร์ดของระบบเพื่อหา Cryptocurrency Wallet Addresses หากพบข้อมูลใด ๆ เงินดิจิตัลจะถูกแทนที่ทันที ด้วยที่อยู่ภายใต้การควบคุมของแฮกเกอร์ สิ่งนี้ช่วยให้แฮกเกอร์สามารถเปลี่ยนเส้นทางการชำระเงินไปยังบัญชีของแฮกเกอร์ได้ ซึ่งตามข้อมูลของ        Dr. Web ได้ทำให้แฮกเกอร์มีมูลค่า Cryptocurrency อย่างน้อย $19,000 ใน Wallet Addresses              ที่นักวิจัยสามารถตรวจพบได้ 

ที่อยู่ดังกลล่าวด้านล่างดึงมาจาก ISO ของ Windows ที่ใช้ร่วมกันบน Torrent Sites                     แต่ทาง Dr. Web เตือนว่าอาจมีมากกว่านี้: 

  • Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso 
  • Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso 
  • Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso 
  • Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso 
  • Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso 

ควรหลีกเลี่ยงการดาวน์โหลด OS ที่ละเมิดลิขสิทธิ์เพราะอาจเป็นอันตรายได้ เนื่องจากแฮเกอร์ผู้ที่สร้างเวอร์ชั่นที่ละเมิดลิขสิทธิ์นั้น สามารถซ่อนมัลแวร์ถาวรได้ง่าย 

Ref : https://www.bleepingcomputer.com/news/security/pirated-windows-10-isos-install-clipper-malware-via-efi-partitions/ 

 

Share