ตัวอย่างหน้าดาวน์โหลดไฟล์ Windows 10 เถื่อน
บริษัทความปลอดภัย Doctor Web รายงานข่าวการระบาดของไฟล์ ISO เถื่อนของ Windows 10 ที่แจกตามเว็บไซต์ torrent ต่าง ๆ แอบฝังมัลแวร์ในพาร์ทิชัน Extensible Firmware Interface (EFI)
พาร์ทิชัน EPI เป็นพาร์ทิชันขนาดเล็กบนดิสก์ ที่มีไฟล์สำหรับ bootloader ใช้ในการบูท OS ขึ้นมาอีกที พาร์ทิชันนี้เป็นส่วนหนึ่งของระบบบูท UEFI ในภาพรวม ที่นำมาใช้แทนระบบ BIOS เดิม
ไฟล์ ISO เถื่อนอาศัยว่าผู้ใช้ดาวน์โหลดไฟล์เพื่อไปติดตั้ง OS ใหม่ ได้สิทธิการเข้าถึงขั้นสูงสุดตั้งแต่แรกอยู่แล้ว จึงแอบฝังมัลแวร์-โทรจันเข้ามาในตัวติดตั้งด้วย เท่าที่ตรวจพบมี 3 ไฟล์ทำงานร่วมกัน
• \Windows\Installer\iscsicli.exe (Trojan.MulDrop22.7578)
• \Windows\Installer\recovery.exe (Trojan.Inject4.57873)
• \Windows\Installer\kd_08_5e78.dll (Trojan.Clipper.231)
Doctor Web อธิบายว่าพฤติกรรมของมัลแวร์ตัวแรกจะเมาท์พาร์ทิชัน EFI ขึ้นมาเป็นไดรฟ์ M: จากนั้นฝังมัลแวร์อีกสองตัวลงไป ยกเลิกการเมาท์ จากนั้นมัลแวร์ตัวที่สองที่รันขึ้นมา จะหาวิธีฝังมัลแวร์ตัวที่สามลงในโพรเซส Lsaiso.exe ของระบบเพื่อเข้าถึงข้อมูลในคลิปบอร์ด และแทรกตำแหน่งที่อยู่คริปโตของคนร้ายลงไป หากเครื่องนั้นมีคำสั่งโอนเงินคริปโต (เช่น Bitcoin หรือ Ethereum) ก็จะเป็นการโอนไปยังกระเป๋าเงินคริปโตของคนร้ายแทน
Doctor Web ตรวจสอบจากที่อยู่คริปโตเหล่านี้ พบว่าคนร้ายได้เงินคริปโตไปแล้ว 0.73406362 BTC และ 0.07964773 ETH เทียบเท่าเงินจริง 18,976.29 ดอลลาร์ หรือราว 6.6 แสนบาท ถึงแม้ความเสียหายไม่เยอะ แต่ในแง่เทคนิควิธีการถือว่าน่าสนใจมากทีเดียวในหมู่นักวิจัยความปลอดภัย
ชื่อไฟล์ ISO เถื่อนที่แอบฝังมัลแวร์ เท่าที่ตรวจพบตามเว็บไซต์ torrent คือ
• Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso
• Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso
ที่มา – Dr.Web, BleepingComputer
————————————————————————————————————————-
ที่มา : Blognone by mk / วันที่เผยแพร่ 16 มิ.ย.66
Link : https://www.blognone.com/node/134371
