У піратських збірках Windows 10 виявлено троян для крадіжки криптовалюти

Фахівці компанії «Доктор Веб» виявили у кількох неофіційних збірках Windows 10, які розповсюджувалися через торрент-трекер, троянську програму-стилер. Йдеться про шкідливість Trojan.Clipper.231, який підміняє адреси криптовалютних гаманців у буфері обміну на задані шахраями адреси. За підрахунками експертів, наразі зловмисникам вдалося викрасти за допомогою цієї шкоди близько $19 тис. у криптовалюті.

У повідомленні сказано, що у травні цього року до компанії «Доктор Веб» звернувся один із клієнтів, який припускав, що його комп'ютер із Windows 10 заражений шкідливим ПЗ. Фахівці провели аналіз та виявили у системі Trojan.Clipper.231, а також Trojan.MuIDrop22.7578 та Trojan.Inject4.57873, які здійснюють запуск стилера. Фахівцям компанії вдалося локалізувати загрозу та впоратися із знешкодженням троянських програм.

Також вдалося встановити, що цільова ОС була неофіційною збіркою, а шкідливе програмне забезпечення було вбудоване в неї спочатку. Надалі було виявлено кілька неофіційних збірок Windows 10 з інтегрованим шкідливим програмним забезпеченням:

• Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik UK.iso,
• Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik UK.iso,
• Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik UA.iso,
• Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso,
• Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso.

Зазначається, що всі згадані збірки були доступні для завантаження на одному торрент-трекері, але не виключено, що зловмисники використовували інші канали розповсюдження. Після розпакування в системі жертви троян починає відстежувати буфер обміну та підміняє адреси криптовалютних гаманців на задані зловмисниками адреси. Наголошується, що троян може визначати небезпечні для нього додатки і у разі їх виявлення не здійснює заміну адреси гаманця в буфері обміну.

За підрахунками аналітиків «Доктор Веб», зловмисники змогли викрасти 0,73406362 біткоїна та 0,07964773 Ethereum, що приблизно еквівалентно $18 976. Щоб уникнути подібних проблем, фахівці рекомендують використовувати лише офіційні збірки Windows.