Malware Cryto Hijacker di Windows 10 bajakan EFI partisi hati hati download


   Security | 15 June 2023


Hati hati mendownload versi ISO Windows
Setelah aktivasi Windows menjadi program berbahaya dan menginfeksi PC karena penguna tidak memeriksa sebelum mengeksekusi aktivator.

Cara baru, peneliti keamanan security menemukan malware menginfeksi di system partisi Windows.


Dalam kontek : EFI system partition memainkan peran penting proses booting Windows.

Bagian tersebut pertama kali ketika menginstall pertama OS Windows.

Sekaligus memberikan tempat berlindung yang aman dari software berbahaya dan ancaman keamanan.

Kabar baru di tahun 2023, salah satu taktik menginfeksi computer sudah dilakukan sejak awal penguna menginstall.
Terkait penemuan malware terbaru mengunakan taktik serangan ke EFI atau menyusup di bagian tersebut.
Jadi semakin sulit untuk menditeksi sejak awal, karena sudah di kemas dalam file ISO.


Bersamaan dengan Windows Modder atau modifikasi Windows sejak tahun 2022 lalu.
Membuat peluang penjahat mulai menganti strategi dengan infeksi file install Windows dan menginfeksi malware.

EFI system partition/  EFI (ESP) diperlukan untuk UEFI mem-boot drive penyimpanan yang di format atau di partisi GPT.
BIOS UEFI di computer dan partisi GPT di harddisk menjadi dua perubahan teknologi yang dirancang menggantikan standar BIOS dan MBR lama.

Partisi EFI, ditempatkan di dalam storage.
Berbeda dengan sistem BIOS lama, dahulu driver harus terditeksi.
Partisi Windows, di dalam berisi Bootloader, Kernel Image, Driver dasar yang diperlukan computer memboot dengan BIOS UEFI.
Ada software yang diperlukan sebelum sistem Windows masuk dengan benar sampai siap dipakai.

Karena partisi ada di bagian depan atau tahap awal install.
EFI menjadi target khusus ancaman keamanan yang rumit dan canggih.
Sedangkan Windows Defender sebagai antivirus Microsoft, baru aktif setelah OS Windows bekerja.

Program Bootkit BlackLotus UEFI terkenal mengeksploitasi ESP untuk bersembunyi dari program security
Crypto stealer atau pencuri kripto yang baru (Jun 2023) ditemukan melakukan teknik yang sama untuk mencoba masuk dan menghindari deteksi antivirus.

Serangan ke unit EFI partisi, ditemukan perusahaan keamanan Dr.Web.


Satu disebutkan Trojan.Clipper.231
Ditemukan di dalam ISO Installer Windows bajakan.

Sementara yang diketahui ada di OS Windows 10 Pro 22H2 dan Office, disebarkan melalui jaringan Torrent.
Sementara 2 versi yang disebarkan adalah versi EN atau English dan lainnya versi bahasa Rusia.

Kapan Trojan Clipper ditemukan
Perusahaan security Dr.Web menemukan serangan tersebut setelah mendapat laporan dari penguna Dr.Web pada akhir Mei 2023.
Analisa lebih lanjut, ditemukan ada infeksi yang bekerja di Windows 10 nya.

Setidaknya 3 infeksi di versi Windows 10 petani.
Trojan.Clipper.231 - cryptocurrencies berfungsi membajak computer
Trojan.MulDrop22.7578 - dropper trojan untuk mengambil trojan / download
Trojan.Inject4.57873 - injektor untuk menjalankan atau eksekusi

Target yang diketahui membawa infeksi adalah file ISO Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 dengan nama belakang BoJlIIIebnik RU.iso

File dropper membawa nama iscsicli.exe tipe Dropper

Setelah computer di install dengan Windows 10 tersebut, file iscsicli.exe masuk dalam Task Scheduler.
Artinya akan bekerja setiap kali computer boot.

Tapi malware masuk ke partisi EFI sebagai drive M:\
Dan mengcopy 2 program di dalam di dalam partisi.
Lalu mengeksekusi dengan menghapus dirinya di program drive C pertama
Selanjutnya meluncurkan Injector program lain agar malware bekerja.

Tidak selesai disana
Fungsi sebagai Dropper dilanjutkan dengan Clipper sebagai tahap akhir.
Trojan.Clipper.231 diketahui mengunakan nama file lsaiso.exe dalam sistem proses computer.
Program tersebut merekam Windows Clipboard, memeriksa jika ada ada alamat Cryto Wallet sedang di copy penguna dan menganti ke milik penjahat.

Selain itu, program Clipper diam diam memeriksa aktivitas proses dan mencoba menghindari analisis beberapa program dalam pemeriksaan.
Seperti Explorer, Task Manager, Process Monitor dan ProcessHacker. Membuat program tidak terlihat ketika diperiksa.

Serangan melalui eksekusi di partisi EFI masih jarang.
Tapi setiap temuan baru, tim security mulai melihat bagaimana serangan masuk, dan untuk apa, sehingga akan menjadi perhatian besar bagi perusahaan antivirus.
Kapan saja pengembangan dengan teknik yang sama dapat muncul kembali dan lebih rumit.

Update dari Dr.Web
File ISO seluruhnya yang terditeksi mengunakan nama akhir RU yang sama.
Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso
Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso

All of them were available for download on one of the torrent trackers, but it is possible that malicious actors are also using other sites to distribute infected system ISO images.

The malicious apps in these builds are located in the system directory:
\Windows\Installer\iscsicli.exe (Trojan.MulDrop22.7578)
\Windows\Installer\recovery.exe (Trojan.Inject4.57873)
\Windows\Installer\kd_08_5e78.dll (Trojan.Clipper.231)

Aktivitas injeksi malware yang terditeksi menyabar di berbagai program dibawah ini

Trojan.Inject4.57873
A trojan application written in C++ and designed to run on 64-bit Microsoft Windows operating systems. Its primary function is to inject a Trojan.Clipper.231 malicious app into one of the system processes.

Trojan.Clipper.231
L"Taskmgr.exe"
L"procexp.exe"
L"procexp64.exe"
L"procexp64a.exe"
L"Procmon.exe"

L"Procmon64.exe"
L"Procmon64a.exe"
L"ProcessHacker.exe"
L"SystemExplorer.exe"
L"Daphne.exe"
L"myprocesses.exe"
L"TMX.exe"
L"TMX64.exe"
L"DeskExp.exe"
L"DeskExp64.exe"

L"SystemMonitor64.exe"
L"SystemMonitor.exe"
L"WhatsRunning.exe"
L"ExtensionsServer.exe"
L"Ultimate_Process_Killer1.1.exe"
L"DTaskManager.exe"
L"KillProcess.exe"
L"ToolProcessSecurity.exe"
L"spacetornadoKiller.exe"

Trojan.MulDrop22.7578
(iscsicli.exe)
%WINDIR%\\System32\\cmd.exe /C mountvol M: /S
%WINDIR%\\System32\\cmd.exe /C copy %WINDIR%\\Installer\\recovery.exe M:\\EFI\\Microsoft\\Boot\\recovery.exe
%WINDIR%\\System32\\cmd.exe /C copy %WINDIR%\\Installer\\kd_08_5e78.dll M:\\EFI\\Microsoft\\Boot\\kd_08_5e78.dl
%WINDIR%\\System32\\cmd.exe /C del /f %WINDIR%\\Installer\\recovery.exe
%WINDIR%\\System32\\cmd.exe /C del /f %WINDIR%\\Installer\\kd_08_5e78.dll
%WINDIR%\\System32\\cmd.exe /C M:\\EFI\\Microsoft\\Boot\\recovery.exe
%WINDIR%\\System32\\cmd.exe /C mountvol M: /D

Apapun yang diberikan di internet secara gratis.
Sebaiknya diperiksa terlebih dahulu sebelum di install.
Mengingat Microsoft menempatkan Defender sebagai antivirus Windows untuk mencegah serangan masuk ke sistem.
Penjahat akan mencari trik baru dengan desain malware baru yang dapat lolos dari antivirus.

Artikel Lain

Ransomware teknik meminta tebusan dengan mengunci file tanpa ijin pemilik. Bagaimana ransomware bekerja, apakah ransomware mudah masuk ke computer. Ada tahapan, paling umum Phishing seperti email. Microsoft Windows memiliki Ransomware Protection, mencegah Ransomware tapi manual diaktifkan

Sebuah marketplace menawarkan USB Drive buatan tangan. Tapi ada penjual lain yang menawarkan paket bersama konten di dalamnya. Walau beberapa konten yang ditawarkan dari seri lama, mungkin cukup langkah untuk di cari di Internet. Satu harddisk kapasitas 12 TB dimasukaan sepuluh ribu film

Mirip seperti botnet Mirai. Botnet Condi seperti sedang membangun pasukan hardware. Sementara target yang dicari adalah WIFI Router TP-Link Archer AX21. Bagi penguna perangkat tersebut dapat memperbarui Firmware. Sebelum WIFI Router yang dipakai, suatu saat terinfeksi malware

Asus release Firmware dapat di upgrade penguna. Lihat di menu kanan atas dari setting Asus Wifi Router, notifikasi  upgrade langsung. Firmware Asus seri DSL, GT6, GT-AXE16000,  GT-AXE11000 PRO, GT-AXE11000, GT-AX6000, GS-AX3000, ZenWiFi XT9, RT-AX86U PRO, TUF-AX6000

Grup Lemon menyebar malware dan menginfeksi smartphone. Dapat membajak akun Facebook, Whatsapp, SMS, dan aplikasi populer lainnya. Nomor keamanan OTP dapat di cegat, akun Facebook dapat dibajak dan digunakan untuk memposting dari bukan pemilik

Jangan buka kiriman file sembarangan di email (terbesar), dan website / download . Penyebar malware mengunakan teknik file di kompres dan meningkat sampai 44%. Dibanding mengunakan file seperti Office Word Excel. Mengunakan kelemahan security dengan file zip password. Dan komplek serangan RAT

Perangkat Android TV masih jadi sasaran malware, tahun 2024 terditeksi 170 ribu. Jumlahnya mungkin jauh lebih besar. Ditemukan terinstall malware dari pabrik atau update Firmware OpenSource. Siapa yang memasukan malware. Umumnya merek kecil yang dijual lebih murah. Target penguna dengan update Firmware.

Malware Azov bekerja sangat pintar. Bila sudah terkena ransomeware, sulit terditeksi, file terinfeksi dapat mengeksekusi dirinya sendiri. Dan kode yang digunakan berubah - ubah. November 2022 terditeksi 17 ribu file yang terinfeksi Azov di periksa dengan Virustotal

Malware bersembunyi di program CCleaner, dan mempromosi melalui pencarian data internet. Tapi malware akan mencuri informasi pribadi termasuk akun dan kripto. File dibuat terkunci agar terhindar terditeksi antivirus.

Desember 2021 terditeksi aktivasi KMSPico untuk meniru keaslian Windows telah diinfeksi malware Cyrpto Wallet. Hampir semua browser dapat di monitor dan diambil data oleh malware. Disarankan mengambil dari sumber asli pembuat.

Periksa RAR dan ZIP bila di password, sengaja di sembunyikan. Cara memeriksa file online file App Android atau program Windows. Dapat memeriksa ukuran file 650MB (2023). 4 layanan dapat digunakan memeriksa apakah file terinfeksi dan menganggu computer OS Windows. Tahun 2023, tambahan pemeriksaan Cyber Threat Intelligence (CTI) dengan IP Criminal.



Youtube Obengplus


Trend