Según informa Bleepingcomputer.com, los hackers han distribuido Windows 10 mediante torrents que contenían virus hijackers de criptomonedas.
Los ISOs de Windows 10 infectados ya robaron casi 20.000 dolares en criptomonedas
Los ISOs descubiertos de Windows 10 contenían malware oculto en la partición EFI (Extensible Firmware Interface). Esta partición contiene el gestor de arranque y los archivos que se utilizan antes de que se inicie el sistema operativo. Es el lugar menos pensado para ocultar malwares, y por eso es tan efectivo ése método.
¿Cómo funciona este malware?
Según explican, el malware funciona en tres etapas. El troyano que infecta el sistema es el Trojan.MulDrop22.7578, que se ejecuta a través del Programador de Tareas y tiene como objetivo montar una partición del sistema EFI en la unidad M:\. Una vez que se monta la unidad, se copia otros dos componentes maliciosos en ella.
Esto activa la segunda etapa, el troyano anterior es eliminado de la partición C: y se activa el segundo troyano llamado trojan.inject4.57873, que se desmonta la partición EFI. El troyano utiliza entonces la técnica Process Hollowing para inyectar otro troyano, el Trojan.Clipper.231 en el proceso del sistema Lsaiso.exe tomando el control. A continuación, el malware monitoriza el portapapeles y sustituye las direcciones de las criptocarteras copiadas en él por direcciones proporcionadas por el atacante.
Te recomendamos nuestra guía sobre el armado de un PC básico
Según los investigadores, el troyano Trojan.Clipper.231 (hijackers de criptomonedas) ha conseguido robar hasta ahora 0,73406362 BTC y 0,07964773 ETH, estos son 18.976, 29 dólares.
Los sistemas operativos infectados contienen los siguientes archivos en la carpeta ‘Windows’ de la partición EFI.
Los investigadores tambien se encuentran investigando este caso por el uso de la partición EFI como método de infiltración de malware, ya que es muy poco común y parece ser bastante efectivo.
Con lo económico que está una key de Windows 10 a día de hoy, no parece una mala opción para evitar caer en este tipo de malwares distribuidos por sitios de Torrent. Os mantendremos informados.