Компания «Доктор Веб» обнаружила в ряде неофициальных сборок операционной системы (ОС) Windows 10 троянскую программу-стилер, которую распространяли злоумышленники через торрент-трекеры. Это вредоносное приложение, известное как Trojan.Clipper.231, подменяет адреса криптокошельков в буфере обмена на адреса, заданные мошенниками. На момент обнаружения, злоумышленникам уже удалось похитить криптовалюту на сумму, эквивалентную порядка 19 000 $.
Ситуация стала известна после того, как в конце мая 2023 года клиент обратился в компанию «Доктор Веб» с подозрением на заражение своего компьютера под управлением Windows 10. Анализ, проведенный специалистами компании, подтвердил присутствие в системе стилера Trojan.Clipper.231, а также вредоносных приложений Trojan.MulDrop22.7578 и Trojan.Inject4.57873, которые осуществляли его запуск.
Целевой операционной системой оказалась неофициальная сборка Windows, и вредоносные программы были встроены в нее изначально. В результате исследования было выявлено несколько таких зараженных сборок Windows, включая различные версии Windows 10 Pro 22H2:
- Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso
- Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso
Все они были доступны для скачивания на одном из торрент-трекеров.
Вредоносные программы в этих сборках находились в системном каталоге Windows. Инициализация стилера происходила в несколько стадий. Сначала через системный планировщик задач запускалась вредоносная программа Trojan.MulDrop22.7578, которая монтировала системный EFI-раздел на диск M:, копировала на него два других компонента, затем удаляла оригиналы троянских файлов с диска C:, запускала Trojan.Inject4.57873 и размонтировала EFI-раздел. Затем Trojan.Inject4.57873 с использованием техники Process Hollowing внедрял Trojan.Clipper.231 в системный процесс %WINDIR%\System32\Lsaiso.exe, после чего стилер начинал работать в его контексте.
После получения управления, Trojan.Clipper.231 приступал к отслеживанию буфера обмена и подменял скопированные адреса криптокошельков на адреса, заданные злоумышленниками. Однако, стилер имел ряд ограничений: он начинал выполнять подмену только при наличии системного файла %WINDIR%\INF\scunown.inf и проверял активные процессы, не производя подмену адресов криптокошельков при обнаружении определенных процессов, которые были опасны для него.
Внедрение вредоносных программ в EFI-раздел компьютеров как вектор атаки по-прежнему встречается весьма редко, что делает выявленный случай предметом большого интереса для специалистов по информационной безопасности. По подсчетам вирусных аналитиков компании «Доктор Веб», с помощью стилера Trojan.Clipper.231 злоумышленники украли 0.73406362 BTC и 0.07964773 ETH, что примерно эквивалентно сумме 18 976,29 $ или 1 568 233 рубля.
«Доктор Веб» рекомендует пользователям скачивать только оригинальные ISO-образы операционных систем и только из проверенных источников, таких как сайты производителей. Антивирус Dr.Web успешно обнаруживает и нейтрализует Trojan.Clipper.231 и связанные с ним вредоносные приложения, поэтому для пользователей эти троянские программы не представляют опасности.
Обновления программ, что нового
• Samsung выпустила бета-версию One UI 8 для Galaxy S24 с интеграцией функции Now Brief
• Vivaldi выступила против «ИИ-браузеров»: компания отказалась идти по пути Google и Microsoft
• Battlefield 6: Разработчик о мерах античитера и обязательном Secure Boot
• Какие продукты Apple не анонсируют на событии 9 сентября 2025 года
• Обновление NVIDIA GeForce Game Ready 581.15 WHQL. Поддержка The Order of Giants — DLC для Indiana Jones and the Great Circle
• Google обновляет игровые профили Google Play Games: новые функции и расширенный сбор данных