黑客分發問題 Win10 ISO 鏡像,通過 EFI 分區隱藏竊取加密貨幣。

IT之家 6 月 14 日消息,網絡安全公司 Dr. Web 近日發佈博文,希望用戶不要通過非信任渠道,下載精簡、盜版的 Win10 ISO 鏡像。

黑客分發問題 Win10 ISO 鏡像,通過 EFI 分區隱藏竊取加密貨幣。

該機構近期發現有攻擊者分發 Win10 ISO 鏡像,並在 EFI《可擴展固件接口》分區中隱藏挖礦代碼,可以躲避殺軟的監測。

IT之家註:EFI 分區是一個小型系統分區,其中包含在操作系統啟動之前執行的引導加載程序和相關文件。

主流殺軟不會掃描 EFI 分區,因此惡意軟件可以繞過惡意軟件檢測。

這些惡意 Win10 ISO 鏡像包含以下惡意應用:

\Windows\Installer\iscsicli.exe (dropper)

\Windows\Installer\recovery.exe (injector)

\Windows\Installer\kd_08_5e78.dll (clipper)

設備一旦感染之後就會監測進程資源管理器、任務管理器、進程監視器、進程等等,一旦發現剪貼板中的加密貨幣錢包地址,就會立即替換為攻擊者預設的地址。

Dr. Web 表示調查重定向的加密錢包地址,發現該錢包賬號上至少有價值 19000 美元《IT之家備註:當前約 13.6 萬元人民幣》的加密貨幣。

該機構羅列了幾個問題 Win10 ISO 鏡像,不過表示實際分發的問題鏡像還有很多:

Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso

Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso

Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso

Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU,EN].iso

Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU,EN].iso