IT之家 6 月 14 日消息,網絡安全公司 Dr. Web 近日發佈博文,希望用戶不要通過非信任渠道,下載精簡、盜版的 Win10 ISO 鏡像。
該機構近期發現有攻擊者分發 Win10 ISO 鏡像,並在 EFI《可擴展固件接口》分區中隱藏挖礦代碼,可以躲避殺軟的監測。
IT之家註:EFI 分區是一個小型系統分區,其中包含在操作系統啟動之前執行的引導加載程序和相關文件。
主流殺軟不會掃描 EFI 分區,因此惡意軟件可以繞過惡意軟件檢測。
這些惡意 Win10 ISO 鏡像包含以下惡意應用:
\Windows\Installer\iscsicli.exe (dropper)
\Windows\Installer\recovery.exe (injector)
\Windows\Installer\kd_08_5e78.dll (clipper)
設備一旦感染之後就會監測進程資源管理器、任務管理器、進程監視器、進程等等,一旦發現剪貼板中的加密貨幣錢包地址,就會立即替換為攻擊者預設的地址。
Dr. Web 表示調查重定向的加密錢包地址,發現該錢包賬號上至少有價值 19000 美元《IT之家備註:當前約 13.6 萬元人民幣》的加密貨幣。
該機構羅列了幾個問題 Win10 ISO 鏡像,不過表示實際分發的問題鏡像還有很多:
Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU,EN].iso
Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU,EN].iso