设置
  • 日夜间
    随系统
    浅色
    深色
  • 主题色

黑客分发问题 Win10 ISO 镜像,通过 EFI 分区隐藏窃取加密货币

2023/6/14 15:30:41 来源:IT之家 作者:故渊 责编:故渊

IT之家 6 月 14 日消息,网络安全公司 Dr. Web 近日发布博文,希望用户不要通过非信任渠道,下载精简、盗版的 Win10 ISO 镜像。

该机构近期发现有攻击者分发 Win10 ISO 镜像,并在 EFI(可扩展固件接口)分区中隐藏挖矿代码,可以躲避杀软的监测。

IT之家注:EFI 分区是一个小型系统分区,其中包含在操作系统启动之前执行的引导加载程序和相关文件。主流杀软不会扫描 EFI 分区,因此恶意软件可以绕过恶意软件检测。

这些恶意 Win10 ISO 镜像包含以下恶意应用:

  • \Windows\Installer\iscsicli.exe (dropper)

  • \Windows\Installer\recovery.exe (injector)

  • \Windows\Installer\kd_08_5e78.dll (clipper)

设备一旦感染之后就会监测进程资源管理器、任务管理器、进程监视器、进程等等,一旦发现剪贴板中的加密货币钱包地址,就会立即替换为攻击者预设的地址。

Dr. Web 表示调查重定向的加密钱包地址,发现该钱包账号上至少有价值 19000 美元(IT之家备注:当前约 13.6 万元人民币)的加密货币。

该机构罗列了几个问题 Win10 ISO 镜像,不过表示实际分发的问题镜像还有很多:

  • Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso

  • Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso

  • Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso

  • Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso

  • Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso

广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。

相关文章

关键词:Win10

软媒旗下网站: IT之家 最会买 - 返利返现优惠券 iPhone之家 Win7之家 Win10之家 Win11之家

软媒旗下软件: 软媒手机APP应用 魔方 最会买 要知