盜版Windows ISO檔內含木馬程式竊取用戶加密貨幣

安全廠商發現一款惡意clipper木馬程式利用多個盜版Windows ISO檔在網路散布，意在竊取受害者的加密貨幣。

安全廠商Doctor Web今年5月底在一家客戶Windows 10電腦中，發現名為Clipper的木馬程式及其他惡意程式。Clipper這隻木馬會將用戶裝置上的加密貨幣電子錢包網址置換成攻擊者控制的伺服器網址，藉此竊取用戶財產。

值得注意的是，受感染的Windows是非官方Windows 10 Pro 22H2的系統ISO映像檔，從一開始就被感染了Clipper。這些ISO映像檔是透過用於檔案P2P傳輸的Torrent Tracker伺服器流傳，但研究人員相信也可能透過其他網站。

Clipper感染過程包含數個階段。一開始有個dropper先在Windows建立EFI磁碟分區（EFI partition）。之後載入名為Inject的程式，並以行程清空（process hollowing）手法將Clipper注入到合法系統行程Lsaiso.exe中，這類手法有助於避免安全偵測。一旦控制了這個合法行程，Clipper會檢查是否有安全程式，如果有就按兵不動。若沒有，它會將Windows剪貼簿中的加密貨幣錢包網址置換成攻擊者控制的伺服器。

研究人員指出，滲透到EFI磁碟分析的攻擊手法十分罕見。根據計算，目前駭客已經竊取了1.9萬美元等值的以太幣及比特幣。雖然數字看起來不多，但這次攻擊突顯駭客在Windows系統滲透技術又再演進。

安全廠商呼籲用戶應從合法的網站下載Windows ISO映像檔，包括像是電腦製造商網站。