13 giugno 2023

L'azienda Doctor Web ha rilevato un programma trojan-stealer in una serie di build non ufficiali del sistema operativo Windows 10, che venivano distribuite dai malintenzionati attraverso uno dei tracker di torrent. Denominata Trojan.Clipper.231, questa applicazione malevola sostituisce furtivamente gli indirizzi di portafogli crypto negli appunti con indirizzi impostati dai truffatori. Per il momento, per il suo tramite, i malintenzionati sono riusciti a rubare la criptovaluta per una somma equivalente a circa $19.000.

Alla fine di maggio 2023, all'azienda Doctor Web si è rivolto un cliente che sospettava un'infezione in un computer SO Windows 10. L'analisi condotta dai nostri specialisti ha confermato la presenza di programmi trojan sul sistema: uno stealer Trojan.Clipper.231, nonché applicazioni malevole Trojan.MulDrop22.7578 e Trojan.Inject4.57873, che ne eseguivano l'avvio. Il laboratorio dei virus Doctor Web ha localizzato con successo tutte queste minacce e ha riuscito a neutralizzarle.

Allo stesso tempo, è stato scoperto che il sistema operativo di destinazione era una build non ufficiale, e i malware erano incorporati in essa fin dall'inizio. L'ulteriore indagine ha consentito di rilevare diverse simili build di Windows infette:

• Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso
• Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso

Tutte esse erano disponibili per il download su uno dei tracker di torrent, però non si può escludere che i malintenzionati utilizzino anche altri siti per distribuire immagini di sistema infette.

I programmi malevoli in queste build sono situati nella directory di sistema:

• \Windows\Installer\iscsicli.exe (Trojan.MulDrop22.7578)
• \Windows\Installer\recovery.exe (Trojan.Inject4.57873)
• \Windows\Installer\kd_08_5e78.dll (Trojan.Clipper.231)

L'inizializzazione dello stealer avviene in più fasi. Nella prima fase, tramite la pianificazione di attività di sistema viene avviato il programma malevolo Trojan.MulDrop22.7578:

%SystemDrive%\Windows\Installer\iscsicli.exe

Il suo obiettivo è montare la partizione di sistema EFI su un'unità M:\, copiare su di essa altri due componenti, dopodiché eliminare gli originali dei file trojan dall'unità C:\, avviare Trojan.Inject4.57873 e smontare la partizione EFI.

A sua volta, Trojan.Inject4.57873 con l'uso della tecnica Process Hollowing incorpora Trojan.Clipper.231 nel processo di sistema %WINDIR%\\System32\\Lsaiso.exe, dopodiché lo stealer inizia a funzionare nel suo contesto.

Una volta ottenuto il controllo, Trojan.Clipper.231 si mette a monitorare gli appunti e sostituisce furtivamente gli indirizzi di portafogli crypto copiati con indirizzi impostati dai malintenzionati. Allo stesso tempo, il trojan ha alcune limitazioni. Primo, inizia a eseguire la sostituzione furtiva solo se è presente un file di sistema %WINDIR%\\INF\\scunown.inf. Secondo, il trojan monitora i processi attivi. Se scopre i processi di una serie di applicazioni per esso pericolose, non effettua la sostituzione furtiva di indirizzi di portafogli crypto.

L'incorporazione di programmi malevoli nella partizione EFI di computer come vettore di attacco si riscontra assai raramente. Pertanto, il caso identificato è di grande interesse per gli esperti di sicurezza informatica.

Secondo i calcoli dei nostri analisti dei virus, al momento della pubblicazione di questa notizia, tramite lo stealer Trojan.Clipper.231 i malintenzionati hanno rubato 0.73406362 BTC e 0.07964773 ETH, il che è approssimativamente equivalente a una somma di $18.976,29.

L'azienda Doctor Web consiglia agli utenti di scaricare solo immagini ISO originali dei sistemi operativi e solo da fonti affidabili, come i siti dei produttori. L'antivirus Dr.Web rileva e neutralizza con successo Trojan.Clipper.231 e le applicazioni malevole ad esso legate, pertanto, per i nostri utenti questi programmi trojan non rappresentano un pericolo.

Più informazioni su Trojan.Clipper.231

Più informazioni su Trojan.MulDrop22.7578

Più informazioni su Trojan.Inject4.57873

Indicatori di compromissione