Des experts en cybersécurité ont découvert un malware particulièrement sophistiqué dans des versions piratées de Windows 10 : celui-ci s’installe directement dans la partition système de Windows. Il procède ensuite au vol des cryptomonnaies de la victime.
Télécharger une version piratée de Windows n’a plus beaucoup d’intérêt. S’il n’est pas vendu de base avec l’ordinateur, une clé du système d’exploitation de Microsoft se procure facilement à des prix risibles sur des sites de revente. De plus, les clés des vieilles versions sont valables pour obtenir la dernière itération de l’OS, bien que la plupart des utilisateurs n’optent pas pour cette option car Windows 11 se fait boycotter et Windows 10 reste sur le trône.
Pourtant, certains continuent cette pratique, à leur risques et périls,comme cet aficionado de cryptomonnaies qui s’est fait voler des Bitcoin et de l’Ethereum en mai sans comprendre pourquoi. Soupçonnant que ne soit ordinateur est infecté par un malware, il contacte les experts en cybersécurité de Doctor Web.
À lire : Le créateur du Bitcoin s’attaque à Apple à cause de macOS, mythomane ou réalité ?
L’analyse effectuée par les spécialistes détecte alors la présence de chevaux de troie dans son système : le Trojan.Clipper.231 stealer, le dropper Trojan.MulDrop22.7578 et l’injecteur Trojan.Inject4.57873. Après avoir neutralisé ces menaces, les experts cherchent la source des malwares et découvrent que le système d’exploitation est une version non-officielle de Windows 10.
Plusieurs versions piratées de Windows 10 sont concernées
Cet utilisateur n’avait aucune chance d’en réchapper : les malwares étaient intégrés dès le départ dans l’installateur. Les experts ont alors enquêté pour trouver quelle versions piratées de Windows étaient infectées. Les voici :
- Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 par BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 par BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2846 x64 par BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 par BoJlIIIebnik [RU, EN].iso
- Windows 10 Pro 22H2 19045.2913 x64 par BoJlIIIebnik [RU, EN].iso
Toutes ces versions sont disponibles sur les sites de torrents les plus connus.
Le malware attaque directement le répertoire système de Windows 10
Fait inédit, ces applications malveillantes sont situées dans le répertoire système de ces versions de Windows 10 :
- \Windows\Installer\iscsicli.exe (Trojan.MulDrop22.7578)
- \Windows\Installer\recovery.exe (Trojan.Inject4.57873)
- \Windows\Installer\kd_08_5e78.dll (Trojan.Clipper.231)
La tâche du dropper consiste d’abord à monter une partition système EFI sur le lecteur principal et d’y copier deux autres composants malveillants. Il supprime ensuite les fichiers trojan originaux du lecteur C:\, lance Trojan.Inject4.57873, puis démonte la partition EFI après son méfait accompli. À son tour, Trojan.Inject4.57873 injecte Trojan.Clipper.231 dans le processus système %WINDIR%\System32\Lsaiso.exe. Ensuite, le clipper opère à partir de ce processus.
À lire : Un malware pirate les sites de ventes en ligne pour vider votre compte bancaire
Une fois installé, Trojan.Clipper.231 surveille le presse-papiers et remplace les adresses de portefeuilles cryptographiques qui y sont copiées par des adresses fournies par le pirate. Les experts estiment ainsi que des acteurs malveillants ont réussi à voler un total de 0,73406362 BTC et 0,07964773 ETH à l’aide de ce malware, ce qui équivaut à plus de 17 000 euros.
Source : Doctor Web