Los ISOs de Windows 10 infectados ya robaron casi 20.000 dolares en criptomonedas
Los ISOs descubiertos de Windows 10 contenían malware oculto en la partición EFI (Extensible Firmware Interface). Esta partición contiene el gestor de arranque y los archivos que se utilizan antes de que se inicie el sistema operativo. Es el lugar menos pensado para ocultar malwares, y por eso es tan efectivo ése método.
¿Cómo funciona este malware?
Según explican, el malware funciona en tres etapas. El troyano que infecta el sistema es el Trojan.MulDrop22.7578, que se ejecuta a través del Programador de Tareas y tiene como objetivo montar una partición del sistema EFI en la unidad M:\. Una vez que se monta la unidad, se copia otros dos componentes maliciosos en ella.
Esto activa la segunda etapa, el troyano anterior es eliminado de la partición C: y se activa el segundo troyano llamado trojan.inject4.57873, que se desmonta la partición EFI. El troyano utiliza entonces la técnica Process Hollowing para inyectar otro troyano, el Trojan.Clipper.231 en el proceso del sistema Lsaiso.exe tomando el control. A continuación, el malware monitoriza el portapapeles y sustituye las direcciones de las criptocarteras copiadas en él por direcciones proporcionadas por el atacante.
Según los investigadores, el troyano Trojan.Clipper.231 (hijackers de criptomonedas) ha conseguido robar hasta ahora 0,73406362 BTC y 0,07964773 ETH, estos son 18.976, 29 dólares.
Los sistemas operativos infectados contienen los siguientes archivos en la carpeta ‘Windows’ de la partición EFI.
