ผู้ไม่ประสงค์ดีกำลังส่งไฟล์ Windows 10 ที่แอบซ่อน hijackers cryptocurrency ใน EFI (Extensible Firmware Interface) เพื่อหลีกเลี่ยงการตรวจจับ
EFI partition เป็น system partition ขนาดเล็กที่มี bootloader และไฟล์ที่เกี่ยวข้อง ซึ่งเรียกทำงานก่อนที่จะเริ่มระบบปฏิบัติการ โดยจำเป็นสำหรับระบบ UEFI-powered systems แทนที่ BIOS ที่เลิกใช้แล้วในปัจจุบัน
การโจมตีโดยใช้ EFI partition ที่ดัดแปลงเพื่อเปิดใช้งานมัลแวร์จากภายนอกของระบบปฏิบัติการ และเครื่องมือป้องกัน เช่น ในกรณีของ BlackLotus ที่ใช้ไฟล์ ISO ของ Windows 10 แบบละเมิดลิขสิทธิ์ ซึ่งถูกพบโดยนักวิจัยจาก Dr. Web ซึ่งใช้ EFI เป็นพื้นที่จัดเก็บสำหรับส่วนประกอบของมัลแวร์ clipper เนื่องจากอุปกรณ์ป้องกันมัลแวร์โดยทั่วไปมักไม่ตรวจสอบ EFI partition มัลแวร์จึงสามารถหลีกเลี่ยงการตรวจจับได้
Windows 10 builds ซ่อนแอปที่เป็นอันตรายไว้ในไดเร็กทอรีระบบต่อไปนี้ :
- \Windows\Installer\iscsicli.exe (dropper)
- \Windows\Installer\recovery.exe (injector)
- \Windows\Installer\kd_08_5e78.dll (clipper)
วิธีการทำงาน
เมื่อติดตั้งระบบปฏิบัติการโดยใช้ไฟล์ ISO ดังกล่าว scheduled task จะถูกสร้างขึ้นเพื่อเรียกใช้งาน dropper ชื่อ iscsicli.exe ซึ่งจะ mounts EFI partition เป็นไดรฟ์ "M:\" เมื่อติดตั้งแล้ว dropper จะคัดลอกไฟล์อีกสองไฟล์คือ recovery.exe และ kd_08_5e78.dll ไปยังไดรฟ์ C:\
จากนั้น Recovery.exe จะถูกเรียกใช้งาน ซึ่งมันจะ injects DLL ไฟล์ของมัลแวร์ clipper เข้าไปใน process %WINDIR%\System32\Lsaiso.exe
หลังจากนั้น Clipper จะตรวจสอบว่ามีไฟล์ C:\Windows\INF\scunown.inf อยู่หรือไม่ หรือมีเครื่องมือวิเคราะห์การทำงาน เช่น Process Explorer, Task Manager, Process Monitor, ProcessHacker อยู่หรือไม่ เป็นต้น
หากตรวจพบ Clipper จะไม่เปลี่ยนที่อยู่กระเป๋าเงินดิจิตอลเป็นของผู้โจมตี เพื่อหลบเลี่ยงการนำไปวิเคราะห์จากนักวิจัยด้านความปลอดภัย เมื่อ Clipper ทำงาน มันจะตรวจสอบคลิปบอร์ดของระบบ เพื่อหาที่อยู่กระเป๋าเงินดิจิตอล หากพบ ข้อมูลจะถูกแทนที่ในทันทีด้วยที่อยู่กระเป๋าเงินดิจิตอลของผู้โจมตี
สาเหตุนี้จึงทำให้ผู้ไม่ประสงค์ดีสามารถเปลี่ยนเส้นทางการชำระเงินไปยังบัญชีของผู้โจมตีได้ ซึ่งตามรายงานของ Dr. Web มี cryptocurrency อย่างน้อย $19,000 ดอลลาร์ ที่อยู่ในกระเป๋าเงินของผู้โจมตีที่นักวิจัยสามารถระบุได้
ที่อยู่จาก ISO ของ Windows ที่แชร์บนเว็บไซต์ torrent แต่ Dr. Web ระบุว่าอาจมีมากกว่านี้ :
- Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso
- Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso
คำแนะนำ
- ควรหลีกเลี่ยงการดาวน์โหลด OS ที่ละเมิดลิขสิทธิ์ เพราะอาจเป็นอันตรายจากมัลแวร์ที่ถูกซ่อนไว้ได้
- แนะนำให้ดาวน์โหลด OS จาก เว็บไซต์ official หรือมีแหล่งที่มาที่น่าเชื่อถือเท่านั้น
Ref : bleepingcomputer
ไม่มีความคิดเห็น:
แสดงความคิดเห็น