I ricercatori di Dr. Web avrebbero scoperto una campagna di distribuzione tramite un tracker torrent di immagini ISO per Windows 10 non ufficiali che nasconderebbero durante la fase di installazione le componenti per eseguire un clipper nella partizione EFI (Extensible Firmware Interface) del sistema, allo scopo di eluderne il rilevamento. Le partizioni di sistema EFI vengono utilizzate dai computer dotati di UEFI (Unified Extensible Firmware Interface) per caricare i file e le utility necessari prima dell’avvio effettivo del sistema operativo. E’ noto come gli strumenti antivirus standard non eseguano comunemente la scansione di tale partizione che pertanto può rivelarsi potenzialmente un ottimo spazio di archiviazione per qualsiasi tipo di malware aggirando i rilevamenti di sicurezza.
Le build di Windows 10 infette
Come detto dai ricercatori, tutte le build sarebbero state trovate disponibili per il download su uno dei tracker torrent, pur non potendo escludere il possibile impiego di altri siti per distribuire immagini ISO di sistema infette. Ecco l’elenco delle immagini riportato sul rapporto:
- Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 di BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 di BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2846 x64 di BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 di BoJlIIIebnik [RU, EN].iso
- Windows 10 Pro 22H2 19045.2913 x64 di BoJlIIIebnik [RU, EN].iso
La catena d’infezione
I ricercatori di Dr. Web hanno spiegato che tali build nasconderebbero un dropper (“iscsicli.exe”), un iniettore (“recovery.exe”) e un clipper (“kd_08_5e78.dll”) nella directory di sistema “\\Windows\Installer” e che l’inizializzazione del clipper avverrebbe in più fasi di seguito descritte. Dopo l’avvenuta installazione del sistema operativo Windows 10 tramite una delle ISO in oggetto:
- dapprima verrebbe creata un’attività pianificata per avviare il dropper deputato a montare la partizione di archiviazione EFI su l’unità “M:\” e copiare sull’unità “C:\” l’iniettore e il clipper.
- in seconda istanza, la DLL del malware clipper verrebbe iniettata nel legittimo processo di sistema “%WINDIR%\System32\Lsaiso.exe” tramite la tecnica del Process Hollowing.
- Una volta in esecuzione, il clipper provvederebbe a verificare l’eventuale esecuzione di strumenti di analisi e solo in caso negativo procederebbe a monitorare gli appunti di sistema alla ricerca di indirizzi wallet di criptovaluta sostituendoli con indirizzi controllati dai truffatori.
Sicurezza informatica in pericolo, ma non solo
E’ sempre consigliabile bandire il download di software pirata perché oltre ad assecondare attività illegali potrebbe rivelarsi anche un pericolo per la sicurezza informatica dei sistemi in uso e la privacy degli utilizzatori. Le applicazioni craccate potrebbero infatti nascondere del codice malevolo persistente.
Secondo la ricerca di Dr. Web, questa attività avrebbe permesso ai criminali di rubare criptovaluta per un importo equivalente di almeno $19.000.