Пиратская Windows 10 содержит вредоносное ПО для воровства криптовалюты

Хакеры используют пиратскую Windows 10 для установки вредоносного ПО с целью воровства криптовалюты. Процесс осуществляется через расширяемый интерфейс прошивки (EFI) при помощи торрентов. Об этом пишет Bleeping Computer.

Уже обнаружены атаки с использованием модифицированных разделов EFI для активации вредоносного ПО вне контекста операционной системы и ее инструментов защиты. Одним из примеров такой атаки называют использование раздела, получившего название BlackLotus. Однако исследователи из Dr. Web пришли к выводу, что в новом случае EFI используется просто как безопасное место для хранение файлов клипера.

Стандартные антивирусы не сканируют разделы EFI, что позволяет вредоносному ПО успешно обходить имеющиеся ограничения. После установки операционной системы через ISO создается задача по запуску iscsicli.exe. Последний меняет расположение раздела EFI на "M:\". После этого на диск C копируются файлы recovery.exe и kd_08_5e78.dll.

Перед заменой адресов для криптокошельков клипер убеждается, что в системе не запущены инструменты аналитики вроде Process Explorer, Task Manager, Process Monitor, ProcessHacker, чтобы избежать слежки. Если таковых не обнаружено, он успешно заменяет адреса обнаруженных криптокошельков на те, которые находятся под контролем хакера.