В неофициальных сборках Windows обнаружен стилер для кражи криптовалюты, который проникает в EFI-раздел
playground.ruСпециалисты «Доктор Веб» обнаружили троянскую программу-стилер в пиратских сборках Windows 10, распространяемых через торренты. Вирус под названием Trojan.Clipper.231 подменяет адреса криптовалютных кошельков.
Компания «Доктор Веб» обнаружила в ряде неофициальных сборок операционной системы (ОС) Windows 10 троянскую программу-стилер, которую распространяли злоумышленники через торрент-трекеры. Это вредоносное приложение, известное как Trojan.Clipper.231, подменяет адреса криптокошельков в буфере обмена на адреса, заданные мошенниками. На момент обнаружения, злоумышленникам уже удалось похитить криптовалюту на сумму, эквивалентную порядка 19 000 $.
Ситуация стала известна после того, как в конце мая 2023 года клиент обратился в компанию «Доктор Веб» с подозрением на заражение своего компьютера под управлением Windows 10. Анализ, проведенный специалистами компании, подтвердил присутствие в системе стилера Trojan.Clipper.231, а также вредоносных приложений Trojan.MulDrop22.7578 и Trojan.Inject4.57873, которые осуществляли его запуск.
Целевой операционной системой оказалась неофициальная сборка Windows, и вредоносные программы были встроены в нее изначально. В результате исследования было выявлено несколько таких зараженных сборок Windows, включая различные версии Windows 10 Pro 22H2:
Все они были доступны для скачивания на одном из торрент-трекеров.
Вредоносные программы в этих сборках находились в системном каталоге Windows. Инициализация стилера происходила в несколько стадий. Сначала через системный планировщик задач запускалась вредоносная программа Trojan.MulDrop22.7578, которая монтировала системный EFI-раздел на диск M:, копировала на него два других компонента, затем удаляла оригиналы троянских файлов с диска C:,
