13 de junio de 2023

La empresa Doctor Web detectó un programa troyano stealer en algunas compilaciones no oficiales del SO Windows 10 que los malintencionados difundían a través de un torrent tracker. Llamado Trojan.Clipper.231, este malware suplanta las direcciones de criptomonederos en el portapapeles por las direcciones establecidas por los malintencionados. Actualmente con el mismo los delincuentes consiguieron robar el importe de criptomoneda igual a unos $19 000.

A finales de mayo del año 2023 un cliente contactó a la empresa Doctor Web sospechando una infección de un equipo administrado por SO Windows 10. El análisis realizado por nuestros expertos confirmó la presencia de programas troyanos en el sistema — el stealer Trojan.Clipper.231, así como el malware Trojan.MulDrop22.7578 y Trojan.Inject4.57873 que lo iniciaban. El laboratorio de virus de Doctor Web localizó correctamente todas estas amenazas y las desinfectó.

Al mismo tiempo se detectó que el SO objetivo era una compilación no oficial, y el malware estaba incrustado en el mismo inicialmente. La investigación posterior permitió revelar algunas compilaciones de Windows infectadas de este tipo:

• Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso
• Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso

Todas ellas estaban disponibles para la descarga en un torrent tracker, pero es probable que los malintencionados usen también otros sitios web para difundir las imágenes infectadas del sistema.

El malware en estas compilaciones está en el catálogo de sistema:

• \Windows\Installer\iscsicli.exe (Trojan.MulDrop22.7578)
• \Windows\Installer\recovery.exe (Trojan.Inject4.57873)
• \Windows\Installer\kd_08_5e78.dll (Trojan.Clipper.231)

La inicialización del stealer se realiza en varias etapas. En la primera etapa a través del programador de tareas de sistema se inicia el malware Trojan.MulDrop22.7578:

%SystemDrive%\Windows\Installer\iscsicli.exe

Su tarea es montar la sección EFI de sistema en el disco M:\, copiar al mismo dos otros componentes y luego eliminar los originales de archivos troyanos del disco C:\, iniciar Trojan.Inject4.57873 y desmontar la sección EFI.

A su vez, Trojan.Inject4.57873 usando la técnica Process Hollowing implementa Trojan.Clipper.231 en el proceso de sistema %WINDIR%\\System32\\Lsaiso.exe, después de lo cual el stealer empieza a funcionar en su contexto.

Al conseguir la función de administración, Trojan.Clipper.231 empieza a supervisar el portapapeles y suplanta las direcciones copiadas de criptomonederos por las direcciones establecidas por los malintencionados. Así mismo, tiene algunas restricciones. Primero, empieza a realizar la suplantación solo si hay archivo de sistemas %WINDIR%\\INF\\scunown.inf. Segundo, el troyano comprueba los procesos activos. En caso de detectar los procesos de algunas aplicaciones peligrosas para el mismo, no suplanta direcciones de criptomonederos.

La implementación de malware en la sección EFI de equipos como vector de ataque sigue siendo no muy frecuente. Por lo tanto, el caso detectado es de interés importante para expertos en seguridad informática.

Según los cálculos de nuestros analistas de virus, en el momento de publicación de esta noticia, los malintencionados robaron 0.73406362 BTC y 0.07964773 ETH, igual al importe de unos $18 976,29 o 1 568 233 RUB, con el stealer Trojan.Clipper.231.

La empresa Doctor Web recomienda a los usuarios descargar solo imágenes ISO originales de sistemas operativos y solo de orígenes de confianza, tales como los sitios web de productores. El Antivirus Dr.Web detecta correctamente y neutraliza Trojan.Clipper.231 y malware vinculado, por lo tanto, para nuestros usuarios estos programas troyanos no son de amenaza.

Más información sobre Trojan.Clipper.231

Más información sobre Trojan.MulDrop22.7578

Más información sobre Trojan.Inject4.57873

Indicadores de compromiso