盗版Windows ISO内含木马程序窃取用户加密货币

安全厂商发现一款恶意clipper木马程式利用多个盗版Windows ISO档在网络散布，意在窃取受害者的加密货币。

安全厂商Doctor Web今年5月底在一家客户Windows 10电脑中，发现名为Clipper的木马程序及其他恶意程序。Clipper这只木马会将用户装置上的加密货币电子钱包网址置换成攻击者控制的伺服器网址，借此窃取用户财产。

值得注意的是，受感染的Windows是非官方Windows 10 Pro 22H2的系统ISO映像档，从一开始就被感染了Clipper。这些ISO映像档是透过用于档案P2P传输的Torrent Tracker服务器流传，但研究人员相信也可能透过其他网站。

Clipper感染过程包含数个阶段。一开始有个dropper先在Windows建立EFI硬盘分区（EFI partition）。之后载入名为Inject的程序，并以行程清空（process hollowing）手法将Clipper注入到合法系统行程Lsaiso.exe中，这类手法有助于避免安全侦测。一旦控制了这个合法行程，Clipper会检查是否有安全程式，如果有就按兵不动。若没有，它会将Windows剪贴簿中的加密货币钱包网址置换成攻击者控制的伺服器。

研究人员指出，渗透到EFI硬盘分析的攻击手法十分罕见。根据计算，目前黑客已经窃取了1.9万美元等值的以太币及比特币。虽然数字看起来不多，但这次攻击突显黑客在Windows系统渗透技术又再演进。

安全厂商呼吁用户应从合法的网站下载Windows ISO映像档，包括像是电脑制造商网站。

Tags：

转载请注明出处：https://www.eoje.cn/jmhb/3154.html