Talán mondani sem kell, mennyire veszélyes torrentoldalakról letölteni olyan szoftvereket, amelyekben ezután bizalmas beszélgetéseket folytatunk, és a banki ügyeinket is intézzük, valamint kártyaadataink megadásával online vásárolunk – és természetesen egy fizetős termék ingyenes letöltése további kérdéseket is felvet.
Most kiderült, hogy hackerek fertőzött Windows 10-telepítőket (ISO-kat) terjesztenek torrentoldalakon keresztül. Ezek a kártevők a Windows betöltéséhez, működéséhez nélkülözhetetlen EFI-partíción rejtőznek, amit az operációs rendszer a telepítéskor automatikusan létrehoz. Bár egyes kártevők ezt a partíciót használják, hogy valamilyen kártevőt a gépre juttassanak, kijátszva a rendszer védelmi mechanizmusait, jelen esetben a rosszindulatú felek egy biztonságos tárhelyként tekintenek az EFI-re, hogy itt tárolják a káros fájlokat – a Dr. Web kutatói azonban ennek ellenére is rátaláltak.
Javított egy súlyos biztonsági rést a Microsoft, érdemes azonnal telepíteni a frissítéseket
Befoltozta a BlackLotus által kihasznált rést a Microsoft, ami a biztonságos rendszerindítást és gyakorlatilag minden más biztonsági funkciót is képes megkerülni a Windowsokban.
Mint a Bleeping Computer írja, az EFI-partíciót jellemzően nem vizsgálják át a vírusirtó programok sem, így a kártevő észrevétlen maradhat. A veszélyes program a következő fájlokat helyezi el a rendszerkönyvtárban:
- \Windows\Installer\iscsicli.exe
- \Windows\Installer\recovery.exe
- \Windows\Installer\kd_08_5e78.dll
Amint a kártevő működésbe lépett a kalózkodott Windows 10-telepítésen, figyelni fogja a vágólapot (mindent, amit kimásoltunk, hogy máshol beillesszük), egészen pontosan kriptovaluta pénztárca-címek után. Ha találat van, a kimásolt címet módosítják a támadóéra, így a rosszindulatú felek gyakorlatilag átirányítják a kifizetéseket a saját kriptovaluta-számláikra – eddig a Dr. Web szerint 19 000 dollár, azaz körülbelül 6 millió 530 ezer forint értékben tudtak így kriptovalutát lopni.
A következő címekkel terjednek a torrentoldalakon a veszélyes Windows-változatok:
- Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso
- Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso
A kutatók azonban figyelmeztetnek, hogy a valóságban azonban sokkal több veszélyes variáns is terjedhet. Ha valaki már ilyet telepített, annak csakis az jelenthet megoldást, ha egy legális forrásból beszerzett operációs rendszert teljesen nulláról telepít, a korábbi meghajtók teljes törlésével.
Természetesen a fent kifejtett veszély nem csak azokat érintik, akik kriptopénzekkel foglalkoznak: az, hogy a támadók látnak olyan bizalmas adatokat, amelyeket a vágólapra másolunk, más veszélyeket is magában rejthet, hiszen időnként banki adatok is vágólapra kerülnek, amelyek könnyen illetéktelen kezekbe kerülhetnek.
Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.
