Doctor Webは6月13日(現地時間)、「Doctor Web identifies pirated Windows builds with crypto stealer that penetrates EFI partition」において、非公式のWindows 10ディスクイメージに悪意のあるプログラムが複数含まれていることを発見したと伝えた。悪意あるプログラムの正体は、クリップボード内の暗号化ウォレットのアドレスを攻撃者の暗号化ウォレットアドレスに置き換えるクリプトスティーラとされ、この攻撃によりすでに約1万9000ドル相当の暗号資産が盗まれている。

  • Doctor Web identifies pirated Windows builds with crypto stealer that penetrates EFI partition

    Doctor Web identifies pirated Windows builds with crypto stealer that penetrates EFI partition

Doctor Webの調査により、同社の顧客のWindows 10システム内で不正なプログラムが動作していることが明らかとなった。確認された悪意のあるプログラムはWindows 10ディスクイメージに含まれていることが確認されており、インストール時に感染したものとみられている。

Windows 10ディスクイメージで発見された悪意のあるプログラムは次のとおり。

  • \Windows\Installer\iscsicli.exe(Trojan.MulDrop22.7578)
  • \Windows\Installer\recovery.exe(Trojan.Inject4.57873)
  • \Windows\Installer\kd_08_5e78.dll(Trojan.Clipper.231)

「Trojan.MulDrop22.7578」はドロッパーとされ、システムのインストール時に悪意のある2つのプログラムである「Trojan.Inject4.57873」および「Trojan.Clipper.231」をシステム内にコピーする役目を持っている。システムにコピーされたTrojan.Inject4.57873はインジェクタで、さらにTrojan.Clipper.231をステムプロセスに挿入するよう実行する。Trojan.Clipper.231はクリッパープログラムとされ、最終的に制御を獲得してクリップボードの監視を開始し、クリップボードにコピーされた暗号ウォレットのアドレスを攻撃者が提供したアドレスに置き換えるとされている。

同社の顧客が利用したWindows 10ディスクイメージが非公式、いわゆる海賊版であったことが判明している。悪意のあるプログラムが組み込まれたWindows 10ディスクイメージが多数、torrentトラッカーを通じて配布されていることが確認されている。不正なプログラムが組み込まれているWindowsイメージディスクは次のとおり。

  • Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
  • Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
  • Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
  • Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso
  • Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso

これらのディスクイメージは、torrentサイトだけでなく他のWebサイトでも配布されている可能性がある。非公式のディスクイメージを使うのでなく、正規のディスクイメージをダウンロードしてシステムをインストールすることが推奨される。