俄國資安公司 Dr.Web 昨日警告,有多個非官方的 Windows 10 版本中含有會盜取加密貨幣的木馬程式,該木馬透過滲透進系統的 EFI 分區來有效逃避防毒軟體的監測,並用攻擊者的錢包來替換剪貼簿中的加密貨幣錢包地址。截至目前,已至少成功竊取價值約 19,000 美元的加密貨幣。
(前情提要:不怕丟手機!Google Authenticator新增「雲端同步」,但小心加密資產被盜)
(背景補充:小心!駭客冒充ChatGPT大量散播「病毒軟體」,Meta:正開發防禦策略)
俄羅斯知名的資訊安全公司 Dr.Web 昨(14)發佈報告警告,已發現多個非官方的 Windows 10 版本中含有盜取加密貨幣的木馬程式,並至少已成功盜走價值約 19,000 美元的加密貨幣。
惡意攻擊者通過 BT 下載加速器 Torrent Tracker 分享微軟 Win10 鏡像,被稱作 Trojan.Clipper.231 木馬程式會滲透系統的 EFI (統一可延伸韌體介面)分區,以躲避防毒軟體的監測,並用攻擊者提供的地址地替換剪貼簿中的加密貨幣錢包地址。
據了解,由於微軟 Windows 安裝以及使用上的複雜度,有部分用戶習慣在網路上尋找「乾淨版」「整合office」等客製化系統安裝檔來刪除 Windows 系統不要的微軟原生軟體,藉此加速電腦的速度、改善使用體驗,而歹徒正是挑選這樣的用戶進行攻擊。
截至報告發布前,攻擊者已使用該木馬竊取了 0.73406362 BTC 和 0.07964773 ETH,價值相當於 18,976.29 美元的加密貨幣。
延伸閱讀:錢包簽名就被盜?揭祕Uniswap Permit2釣魚騙局
勿下載非官方 Windows 10 版本
Dr.Web 調查發現受感染的 Windows 10 ISO 映像包括:
- Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso
- Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso
所有這些自製的 Win 10 鏡像版本都可以在其中一個 Torrent Tracker 上下載,但攻擊者也可能使用其他站點來傳播受感染的系統 ISO 映像。這些非官方版本從一開始就內建了以下惡意程式於系統目錄中:
\Windows\Installer\iscsicli.exe (Trojan.MulDrop22.7578)
\Windows\Installer\recovery.exe (Trojan.Inject4.57873)
\Windows\Installer\kd_08_5e78.dll (Trojan.Clipper.231)
其透過滲透進 EFI 分區進行攻擊,由於標準的防毒軟體通常不會掃描 EFI 分區,因此可以有效躲避防毒軟體的監測此外,研究人員還發現,該木馬會掃描操作系統以尋找任何可能威脅到它的分析工具,一旦檢測到這些工具他就不會不會替換加密錢包地址,來避免安全研究人員的檢測。
Dr.Web 表示惡意軟體作為攻擊媒介滲透到電腦 EFI 分區中的情況仍非常罕見。 因此,這起案例引起了資安專家的高度關注。該公司也呼籲用戶只從官方或是可信任的渠道下載操作系統的原始 ISO 映像,小心下載非官方版本的安全風險。
而習慣使用非官方鏡像來加速 Windows 的用戶,建議等待各大防毒軟體品牌針對該攻擊手法進行更新,短期內不要使用非官方軟體來安裝系統。
相關報導
Google搜尋釣魚攻擊暴增!「3千人上鉤」逾400萬鎂加密資產被盜
