บริษัทความปลอดภัย Doctor Web รายงานข่าวการระบาดของไฟล์ ISO เถื่อนของ Windows 10 ที่แจกตามเว็บไซต์ torrent ต่างๆ แอบฝังมัลแวร์ในพาร์ทิชัน Extensible Firmware Interface (EFI)

พาร์ทิชัน EPI เป็นพาร์ทิชันขนาดเล็กบนดิสก์ ที่มีไฟล์สำหรับ bootloader ใช้ในการบูท OS ขึ้นมาอีกที พาร์ทิชันนี้เป็นส่วนหนึ่งของระบบบูท UEFI ในภาพรวม ที่นำมาใช้แทนระบบ BIOS เดิม

ไฟล์ ISO เถื่อนอาศัยว่าผู้ใช้ดาวน์โหลดไฟล์เพื่อไปติดตั้ง OS ใหม่ ได้สิทธิการเข้าถึงขั้นสูงสุดตั้งแต่แรกอยู่แล้ว จึงแอบฝังมัลแวร์-โทรจันเข้ามาในตัวติดตั้งด้วย เท่าที่ตรวจพบมี 3 ไฟล์ทำงานร่วมกัน

• \Windows\Installer\iscsicli.exe (Trojan.MulDrop22.7578)
• \Windows\Installer\recovery.exe (Trojan.Inject4.57873)
• \Windows\Installer\kd_08_5e78.dll (Trojan.Clipper.231)

Doctor Web อธิบายว่าพฤติกรรมของมัลแวร์ตัวแรกจะเมาท์พาร์ทิชัน EFI ขึ้นมาเป็นไดรฟ์ M: จากนั้นฝังมัลแวร์อีกสองตัวลงไป ยกเลิกการเมาท์ จากนั้นมัลแวร์ตัวที่สองที่รันขึ้นมา จะหาวิธีฝังมัลแวร์ตัวที่สามลงในโพรเซส Lsaiso.exe ของระบบเพื่อเข้าถึงข้อมูลในคลิปบอร์ด และแทรกตำแหน่งที่อยู่คริปโตของคนร้ายลงไป หากเครื่องนั้นมีคำสั่งโอนเงินคริปโต (เช่น Bitcoin หรือ Ethereum) ก็จะเป็นการโอนไปยังกระเป๋าเงินคริปโตของคนร้ายแทน

Doctor Web ตรวจสอบจากที่อยู่คริปโตเหล่านี้ พบว่าคนร้ายได้เงินคริปโตไปแล้ว 0.73406362 BTC และ 0.07964773 ETH เทียบเท่าเงินจริง 18,976.29 ดอลลาร์ หรือราว 6.6 แสนบาท ถึงแม้ความเสียหายไม่เยอะ แต่ในแง่เทคนิควิธีการถือว่าน่าสนใจมากทีเดียวในหมู่นักวิจัยความปลอดภัย

ชื่อไฟล์ ISO เถื่อนที่แอบฝังมัลแวร์ เท่าที่ตรวจพบตามเว็บไซต์ torrent คือ

• Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso
• Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso

ตัวอย่างหน้าดาวน์โหลดไฟล์ Windows 10 เถื่อน

ที่มา - Dr.Web, BleepingComputer