关键词
黑客攻击
网络安全公司 Dr. Web 近日发布博文,希望用户不要通过非信任渠道,下载精简、盗版的 Win10 ISO 镜像。
该机构近期发现有攻击者分发 Win10 ISO 镜像,并在 EFI(可扩展固件接口)分区中隐藏挖矿代码,可以躲避杀软的监测。
IT 之家注:EFI 分区是一个小型系统分区,其中包含在操作系统启动之前执行的引导加载程序和相关文件。主流杀软不会扫描 EFI 分区,因此恶意软件可以绕过恶意软件检测。
这些恶意 Win10 ISO 镜像包含以下恶意应用:
WindowsInstalleriscsicli.exe ( dropper )
WindowsInstallerrecovery.exe ( injector )
WindowsInstallerkd_08_5e78.dll ( clipper )
设备一旦感染之后就会监测进程资源管理器、任务管理器、进程监视器、进程等等,一旦发现剪贴板中的加密货币钱包地址,就会立即替换为攻击者预设的地址。
Dr. Web 表示调查重定向的加密钱包地址,发现该钱包账号上至少有价值 19000 美元(IT 之家备注:当前约 13.6 万元人民币)的加密货币。
该机构罗列了几个问题 Win10 ISO 镜像,不过表示实际分发的问题镜像还有很多:
Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [ RU, EN ] .iso
Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [ RU, EN ] .iso
END
阅读推荐
【安全圈】制贩黑客工具非法破解手机获利千万 一黑灰产犯罪团伙
【安全圈】最新报告:美对iPhone手机网络攻击始于2013年
【安全圈】FTC对亚马逊旗下Alexa和Ring的隐私侵权行为处以3080万美元罚款
安全圈
←扫码关注我们
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
原文始发于微信公众号(安全圈):【安全圈】黑客分发问题Win10 ISO镜像,通过EFI分区隐藏窃取加密货币
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论