Компания «Доктор Веб» обнаружила в ряде неофициальных сборок операционной системы (ОС) Windows 10 троянскую программу-стилер, которую распространяли злоумышленники через торрент-трекеры. Это вредоносное приложение, известное как Trojan.Clipper.231, подменяет адреса криптокошельков в буфере обмена на адреса, заданные мошенниками. На момент обнаружения, злоумышленникам уже удалось похитить криптовалюту на сумму, эквивалентную порядка 19 000 $.
Ситуация стала известна после того, как в конце мая 2023 года клиент обратился в компанию «Доктор Веб» с подозрением на заражение своего компьютера под управлением Windows 10. Анализ, проведенный специалистами компании, подтвердил присутствие в системе стилера Trojan.Clipper.231, а также вредоносных приложений Trojan.MulDrop22.7578 и Trojan.Inject4.57873, которые осуществляли его запуск.
Целевой операционной системой оказалась неофициальная сборка Windows, и вредоносные программы были встроены в нее изначально. В результате исследования было выявлено несколько таких зараженных сборок Windows, включая различные версии Windows 10 Pro 22H2:
- Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso
- Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso
Все они были доступны для скачивания на одном из торрент-трекеров.
Вредоносные программы в этих сборках находились в системном каталоге Windows. Инициализация стилера происходила в несколько стадий. Сначала через системный планировщик задач запускалась вредоносная программа Trojan.MulDrop22.7578, которая монтировала системный EFI-раздел на диск M:, копировала на него два других компонента, затем удаляла оригиналы троянских файлов с диска C:, запускала Trojan.Inject4.57873 и размонтировала EFI-раздел. Затем Trojan.Inject4.57873 с использованием техники Process Hollowing внедрял Trojan.Clipper.231 в системный процесс %WINDIR%\System32\Lsaiso.exe, после чего стилер начинал работать в его контексте.
После получения управления, Trojan.Clipper.231 приступал к отслеживанию буфера обмена и подменял скопированные адреса криптокошельков на адреса, заданные злоумышленниками. Однако, стилер имел ряд ограничений: он начинал выполнять подмену только при наличии системного файла %WINDIR%\INF\scunown.inf и проверял активные процессы, не производя подмену адресов криптокошельков при обнаружении определенных процессов, которые были опасны для него.
Внедрение вредоносных программ в EFI-раздел компьютеров как вектор атаки по-прежнему встречается весьма редко, что делает выявленный случай предметом большого интереса для специалистов по информационной безопасности. По подсчетам вирусных аналитиков компании «Доктор Веб», с помощью стилера Trojan.Clipper.231 злоумышленники украли 0.73406362 BTC и 0.07964773 ETH, что примерно эквивалентно сумме 18 976,29 $ или 1 568 233 рубля.
«Доктор Веб» рекомендует пользователям скачивать только оригинальные ISO-образы операционных систем и только из проверенных источников, таких как сайты производителей. Антивирус Dr.Web успешно обнаруживает и нейтрализует Trojan.Clipper.231 и связанные с ним вредоносные приложения, поэтому для пользователей эти троянские программы не представляют опасности.
Обновления программ, что нового
• Gamers Nexus: «Худший запуск драйверов NVIDIA за всё время» — массовые сбои на видеокартах GeForce RTX
• Samsung начал выпуск One UI 7: график обновлений для Galaxy S24 и других устройств до июня 2025 года
• Роскомнадзор может заблокировать работу 12 иностранных хостинг-провайдеров в России
• Релиз Dr.Web Katana 2.0: ещё больше защиты от новых угроз и поддержка последних версий Windows 11
• «Яндекс» объяснил причину масштабного сбоя в дата-центре
• Новая One UI 8 дебютирует в июле 2025 года на складных смартфонах Samsung