10 ответов в этой теме

[News Robot]

13 июня 2023 года

Компания «Доктор Веб» выявила троянскую программу-стилер в ряде неофициальных сборок ОС Windows 10, которые злоумышленники распространяли через один из торрент-трекеров. Получившее имя Trojan.Clipper.231, это вредоносное приложение подменяет адреса криптокошельков в буфере обмена на адреса, заданные мошенниками. На данный момент с его помощью злоумышленникам удалось похитить криптовалюту на сумму, эквивалентную порядка $19 000.

В конце мая 2023 года в компанию «Доктор Веб» обратился клиент с подозрением на заражение компьютера под управлением ОС Windows 10. Проведенный нашими специалистами анализ подтвердил факт присутствия троянских программ в системе —стилера Trojan.Clipper.231, а также вредоносных приложений Trojan.MulDrop22.7578 и Trojan.Inject4.57873, осуществлявших его запуск. Вирусная лаборатория «Доктор Веб» успешно локализовала все эти угрозы и справилась с их обезвреживанием.

В то же время выяснилось, что целевая ОС являлась неофициальной сборкой, и вредоносные программы были встроены в нее изначально. Дальнейшее исследование позволило выявить несколько таких зараженных сборок Windows:

• Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso
• Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso

Все они были доступны для скачивания на одном из торрент-трекеров, однако нельзя исключать, что злоумышленники используют и другие сайты для распространения инфицированных образов системы.

Вредоносные программы в этих сборках расположены в системном каталоге:

• WindowsInstalleriscsicli.exe (Trojan.MulDrop22.7578)
• WindowsInstallerrecovery.exe (Trojan.Inject4.57873)
• WindowsInstallerkd_08_5e78.dll (Trojan.Clipper.231)

Инициализация стилера происходит в несколько стадий. На первом этапе через системный планировщик задач запускается вредоносная программа Trojan.MulDrop22.7578:

%SystemDrive%WindowsInstalleriscsicli.exe

Ее задача — смонтировать системный EFI-раздел на диск M:, скопировать на него два других компонента, после чего удалить оригиналы троянских файлов с диска C:, запустить Trojan.Inject4.57873 и размонтировать EFI-раздел.

В свою очередь, Trojan.Inject4.57873 с использованием техники Process Hollowing внедряет Trojan.Clipper.231 в системный процесс %WINDIR%\System32\Lsaiso.exe, после чего стилер начинает работать в его контексте.

Получив управление, Trojan.Clipper.231 приступает к отслеживанию буфера обмена и подменяет скопированные адреса криптокошельков на адреса, заданные злоумышленниками. При этом у него имеется рад ограничений. Во-первых, выполнять подмену он начинает только при наличии системного файла %WINDIR%\INF\scunown.inf. Во-вторых, троян проверяет активные процессы. Если он обнаруживает процессы ряда опасных для него приложений, то подмену адресов криптокошельков не производит.

Внедрение вредоносных программ в EFI-раздел компьютеров как вектор атаки по-прежнему встречается весьма редко. Поэтому выявленный случай представляет большой интерес для специалистов по информационной безопасности.

По подсчетам наших вирусных аналитиков, на момент публикации этой новости с помощью стилера Trojan.Clipper.231 злоумышленники украли 0.73406362 BTC и 0.07964773 ETH, что примерно эквивалентно сумме $18 976,29 или 1 568 233 рубля.

Компания «Доктор Веб» рекомендует пользователям скачивать только оригинальные ISO-образы операционных систем и только из проверенных источников, таких как сайты производителей. Антивирус Dr.Web успешно обнаруживает и нейтрализует Trojan.Clipper.231 и связанные с ним вредоносные приложения, поэтому для наших пользователей эти троянские программы опасности не представляют.

Подробнее о Trojan.Clipper.231

Подробнее о Trojan.MulDrop22.7578

Подробнее о Trojan.Inject4.57873

Индикаторы компрометации

Читать оригинал

[Alexander007]

Мне так нравится это статьи.. Молодцы.

Сообщение было изменено Alexander007: 13 Июнь 2023 - 18:11

[shlimazl]

Интересно... Я из интереса посмотрел на один из торрент-трекеров ("самый известный русский торрент-трекер"). Указанных сборок на нем не было, были более новые от того же "Волшебника", причем и 10 и 11. 

Dr.Web (установленный) проверяет ISO-образ, но вирусов в нем не находит. Однако судя по ходу проверки, при этом ESD и WIM не распаковываются. Даже если дать на проверку один файл ESD (или WIM). 

То есть, что, чтобы проверить надо вручную распаковывать или есть тайная опция?

[Dmitry_rus]

Вручную.

https://forum.drweb.com/index.php?showtopic=333266

[Alexander007]

Интересно... Я из интереса посмотрел на один из торрент-трекеров ("самый известный русский торрент-трекер"). Указанных сборок на нем не было, были более новые от того же "Волшебника", причем и 10 и 11. 

Dr.Web (установленный) проверяет ISO-образ, но вирусов в нем не находит. Однако судя по ходу проверки, при этом ESD и WIM не распаковываются. Даже если дать на проверку один файл ESD (или WIM). 

То есть, что, чтобы проверить надо вручную распаковывать или есть тайная опция?

 

 

Если распаковывать ISO с помощью zip/winrar и куда то в папку , проверить ее можно сканером - не уверен , что трой найдет или нет - может быть шанс 10% или 20% - слабо верится. 

Сообщение было изменено Alexander007: 14 Июнь 2023 - 12:02

[shlimazl]

Удалось найти одну из упомянутых сборок, а также распаковать ESD и WIM с помощью 7-zip, даже не самого последнего. 

На форуме пути заразы испортились, но в "оригинале" все более читаемо, и действительно в каталоге \Windows\Installer\ в ESD-файле лежат указанные .exe, который установленный Dr.Web съедает еще на этапе распаковки. Однако kd_08_5e78.dll не съел ни на этапе распаковки, ни при отдельной проверке, хотя именно она-то (Trojan.Clipper.231) и выполняет, судя описанию, функцию подмены криптокошельков. Посмотрим, что будет в ближайших обновлениях. 

Но, надо сказать, что это действительно был "один торрент-трекер", но не "самый известный русский торрент-трекер" , и остается непонятным, добавил ли троянов автор сборки именно в эти сборки, но не в последние, или какой-то промежуточный хозяин. 

[shlimazl]

Однако kd_08_5e78.dll не съел ни на этапе распаковки, ни при отдельной проверке, хотя именно она-то (Trojan.Clipper.231) и выполняет, судя описанию, функцию подмены криптокошельков. Посмотрим, что будет в ближайших обновлениях. 

За прошедшие дни и эта dll стала определяться как Trojan.Clipper.231.

[Smart_D15]

Однако на Safezone пишут, что это ЛК передала Доктору карантин с этими угрозами.

[Ivan Korolev]

Однако на Safezone пишут, что это ЛК передала Доктору карантин с этими угрозами.

 

А вы верьте больше тому, что на форумах пишут. Про Cleverence тоже писали на одном форуме, что это они уязвимость нашли, ага.

[mike 1]

 

Однако на Safezone пишут, что это ЛК передала Доктору карантин с этими угрозами.

 

А вы верьте больше тому, что на форумах пишут. Про Cleverence тоже писали на одном форуме, что это они уязвимость нашли, ага.

 

Если быть точнее не ЛК, а специалисты с SZ. Судя по сообщению от одного из коллег вам передали уже готовый архив, а потом антивирусный движок Dr.Web уже стал детектировать файлы внутри пиратского образа. А потом появилась видимо новость о том какие молодцы в Dr.Web.  

[Ivan Korolev]

 

 

Однако на Safezone пишут, что это ЛК передала Доктору карантин с этими угрозами.

 

А вы верьте больше тому, что на форумах пишут. Про Cleverence тоже писали на одном форуме, что это они уязвимость нашли, ага.

 

Если быть точнее не ЛК, а специалисты с SZ. Судя по сообщению от одного из коллег вам передали уже готовый архив, а потом антивирусный движок Dr.Web уже стал детектировать файлы внутри пиратского образа. А потом появилась видимо новость о том какие молодцы в Dr.Web.  

 

 

Конкретно в каком тикете и что они передали? Ни один из хэшей на которых строилось исследование не передавался нам кем-либо (на момент публикации), кроме клиента, о котором речь идет в первом предложении новости.

Сообщение было изменено Ivan Korolev: 27 Июнь 2023 - 15:14