13. Juni 2023

Doctor Web hat einen Stealer-Trojaner in einigen über Software-Aggregatoren verbreiteten Raubkopien von Windows 10 erkannt. Der Stealer wurde unter dem Namen Trojan.Clipper.231 in die Dr.Web Virendatenbank eingetragen. Die bösartige Anwendung ersetzt Krypto-Wallets-Adressen im Pufferspeicher durch von Cyberkriminellen angegebene Krypto-Wallets. Zu diesem Zeitpunkt haben die Cyberkriminellen rund 19.000 US-Dollar in Kryptowährung gestohlen.

Ende Mai 2023 wandte sich ein Nutzer mit dem Verdacht auf eine Infektion seines PCs unter Windows 10 an Doctor Web. Die von unseren Experten durchgeführte Analyse zeigte, dass das System mit dem Stealer Trojan.Clipper.231 sowie mit den Trojanern Trojan.MulDrop22.7578 und Trojan.Inject4.57873, die den Stealer gestartet hatten, infiziert war. Das Virenlabor von Doctor Web neutralisierte die erkannten Bedrohungen.

Während der Analyse stellte es sich heraus, dass es sich beim infizierten Betriebssystem um eine Raubkopie handelte, in der die bösartigen Anwendungen vorinstalliert waren. Im Laufe der Untersuchung wurden mehrere infizierte Versionen von Windows-Raubkopien erkannt:

• Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso
• Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso

Die erkannten Raubkopien wurden zum Herunterladen auf einem Software-Aggregator verfügbar. Wir vermuten, dass sie auch über andere Websites verbreitet werden könnten.

Die bösartigen Anwendungen befinden sich im Systemverzeichnis:

• \Windows\Installer\iscsicli.exe (Trojan.MulDrop22.7578)
• \Windows\Installer\recovery.exe (Trojan.Inject4.57873)
• \Windows\Installer\kd_08_5e78.dll (Trojan.Clipper.231)

Die Initialisierung erfolgt in mehreren Schritten. Zunächst wird Trojan.MulDrop22.7578 über den Windows-Aufgabenplaner gestartet:

%SystemDrive%\Windows\Installer\iscsicli.exe

Das Programm legt eine EFI-Systempartition auf dem Laufwerk M:\ an, kopiert die zwei weiteren Komponenten, löscht die Trojaner vom Laufwerk C:\, führt Trojan.Inject4.57873 aus und hängt anschließend die EFI-Systempartition aus.

Trojan.Inject4.57873 verwendet das Process-Hollowing-Verfahren, um Trojan.Clipper.231 in den Systemprozess %WINDIR%\\System32\\Lsaiso.exe zu integrieren.

Nach der Integration beginnt Trojan.Clipper.231, den Pufferspeicher zu überwachen, und ersetzt kopierte Krypto-Wallets-Adressen durch von Cyberkriminellen angegebene Krypto-Wallets. Es gibt einige Einschränkungen in der Funktion des Trojaners. Erstens kann das Ersetzen nur dann erfolgen, wenn die Systemdatei %WINDIR%\\INF\\scunown.inf vorhanden ist. Zweitens überwacht der Trojaner laufende Prozesse. Falls er eine für sich gefährliche Anwendung erkennt, führt er keine Ersetzung durch.

Die Integration bösartiger Anwendungen in die EFI-Partition kommt selten vor. Daher ist dieser Vorfall für IT-Sicherheitsspezialisten von großem Interesse.

Unsere Virenanalysten vermuten, dass die Cyberkriminellen, zum Zeitpunkt der Veröffentlichung dieser Nachricht, bereits etwa 0,73406362 BTC und 0,07964773 ETH (etwa 18.976,29 US-Dollar) mithilfe von Trojan.Clipper.231 gestohlen haben.

Doctor Web empfiehlt nachdrücklich: Nutzen Sie nur offizielle ISO-Abbilder von Betriebssystemen, die aus bewährten Quellen stammen. Dr.Web erkennt und neutralisiert Trojan.Clipper.231, Trojan.MulDrop22.7578 und Trojan.Inject4.57873, daher sind unsere Nutzer sicher vor diesen Bedrohungen geschützt.

Mehr zu Trojan.Clipper.231

Mehr zu Trojan.MulDrop22.7578

Mehr zu Trojan.Inject4.57873

Merkmale der Kompromittierung