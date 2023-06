Hackeři distribuují přes torrent obraz instalačního média operačního systému Windows 10. To by samo o sobě nebylo nic překvapivého, kdyby do něj nepřibalili nechtěný bonus v podobě škodlivé aplikace, jejímž úkolem je krádež kryptoměn. O potenciálním nebezpečí informuje web Bleeping Computer.

Záludnost tohoto malwaru spočívá v tom, že se v průběhu instalace schová do oddílu EFI (Extensible Firmware Interface). Jde o malý systémový oddíl obsahující zavaděč a související soubory spouštěné před zavedením operačního systému. Je nezbytný pro systémy s rozhraním UEFI, které nahrazuje dnes již zastaralý systém BIOS.

Windows s nechtěným bonusem

„Byly zaznamenány útoky využívající upravené oddíly EFI k aktivaci malwaru mimo rámec operačního systému a jeho ochranných nástrojů, jako je například BlackLotus,“ konstatuje Bleeping Computer „Pirátské ISO soubory se systémem Windows 10, které objevili bezpečnostní experti z Dr. Web, však pouze využívají EFI jako bezpečný úložný prostor pro komponenty malwaru.“

Vzhledem k tomu, že standardní antivirové nástroje běžně neprovádějí kontrolu oddílu EFI, může malware potenciálně obejít detekci těmito programy. V adresáři s operačním systémem jsou pak uloženy následující škodlivé aplikace:

\Windows\Installer\iscsicli.exe

\Windows\Installer\recovery.exe

\Windows\Installer\kd_08_5e78.dll

Během instalace operačního systému pomocí pirátského obrazu instalačního média dojde k vytvoření naplánované úlohy, která spustí soubor iscsicli.exe. Aplikace následně připojí oddíl EFI jako jednotku s písmenem M. Po připojení zkopíruje další dva soubory – recovery.exe a kd_08_5e78.dll – na systémový disk.

Až příliš jednoduchá krádež kryptoměn

Poté dojde ke spuštění souboru recovery.exe, který vloží dynamicky připojovanou knihovnu (DLL) malwaru do legitimního systémového procesu %WINDIR%\System32\Lsaiso.exe. Využívá přitom techniku, při které je k provedení útoku zneužit proces operačního systému. Tato technika je často využívána škodlivým softwarem, aby se skryl před detekcí a vyhnul se bezpečnostním opatřením.

Následně dojde ke kontrole, zda existuje soubor C:\Windows\INF\scunown.inf nebo jestli jsou spuštěny nějaké analytické nástroje pro kontrolu spuštěných procesů, jako je například Process Explorer, Správce úloh, Process Monitor, ProcessHacker atd. Pokud se ukáže, že takový nástroj běží, neprovede malware žádné akce.

Škodlivá aplikace pak sleduje systémovou schránku za účelem zachycení adres kryptoměnových peněženek. Pokud na nějaké narazí, okamžitě je nahradí adresami peněženek, které jsou pod kontrolou útočníka. Tato metoda útočníkům umožňuje nasměrovat platby na své účty, což jim podle Dr. Web vyneslo kryptoměny v hodnotě nejméně 19 000 dolarů (cca 418 tisíc korun).

Pozor na tyto soubory

Bezpečnostní experti zveřejnili názvy souborů, ve kterých nalezli malware, zaměřující se na krádež kryptoměn. Nutno podotknout, že seznam nemusí být úplný. Určitě je vhodné vyhnout se stahování pirátských kopií operačních systémů, protože mohou obsahovat škodlivé aplikace.