Les pirates distribuent Windows 10 à l’aide de torrents qui cachent les pirates de crypto-monnaie dans la partition EFI (Extensible Firmware Interface) pour échapper à la détection.
La partition EFI est une petite partition système contenant le chargeur de démarrage et les fichiers associés exécutés avant le démarrage du système d’exploitation. Il est essentiel pour les systèmes alimentés par UEFI qui remplacent le BIOS désormais obsolète.
Il y a eu des attaques utilisant des partitions EFI modifiées pour activer des logiciels malveillants en dehors du contexte du système d’exploitation et de ses outils de défense, comme dans le cas de BlackLotus. Cependant, les ISO Windows 10 piratés découverts par les chercheurs de Dr. Web utilisent simplement EFI comme espace de stockage sécurisé pour les composants de la tondeuse.
Étant donné que les outils antivirus standard n’analysent généralement pas la partition EFI, le logiciel malveillant peut potentiellement contourner les détections de logiciels malveillants.
Le rapport de Dr. Web explique que les versions malveillantes de Windows 10 cachent les applications suivantes dans le répertoire système :
- \Windows\Installer\iscsicli.exe (dropper)
- \Windows\Installer\recovery.exe (injector)
- \Windows\Installer\kd_08_5e78.dll (clipper)
Lorsque le système d’exploitation est installé à l’aide de l’ISO, une tâche planifiée est créée pour lancer un dropper nommé iscsicli.exe, qui monte la partition EFI en tant que lecteur « M:\ ». Une fois monté, le dropper copie les deux autres fichiers, recovery.exe et kd_08_5e78.dll, sur le lecteur C:.
Recovery.exe est ensuite lancé, ce qui injecte la DLL du logiciel malveillant clipper dans le processus système légitime %WINDIR%\System32\Lsaiso.exe via le creusement de processus.
Après avoir été injecté, le clipper vérifiera si le fichier C:\Windows\INF\scunown.inf existe ou si des outils d’analyse sont en cours d’exécution, tels que Process Explorer, Task Manager, Process Monitor, ProcessHacker, etc.
S’ils sont détectés, le clipper ne remplacera pas les adresses de portefeuille crypto pour échapper à la détection par les chercheurs en sécurité.
Une fois que le clipper est en cours d’exécution, il surveillera le presse-papiers du système pour les adresses de portefeuille de crypto-monnaie. S’il en trouve, ils sont remplacés à la volée par des adresses sous le contrôle de l’attaquant.
Cela permet aux acteurs de la menace de rediriger les paiements vers leurs comptes, ce qui, selon le Dr Web, leur a rapporté au moins 19 000 dollars de crypto-monnaie sur les adresses de portefeuille que les chercheurs ont pu identifier.
Ces adresses ont été extraites de l’ISO Windows suivante partagée sur des sites torrent, mais Dr. Web avertit qu’il pourrait y en avoir plus :
- Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso
- Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso
Les téléchargements de systèmes d’exploitation piratés doivent être évités car ils peuvent être dangereux, car ceux qui créent les versions non officielles peuvent facilement cacher des logiciels malveillants persistants.