Специалисты компании «Доктор Веб» выявили несколько неофициальных сборок Windows со встроенным вирусом Trojan.Clipper.231 — он способен перечислять криптовалюту из кошелька пользователя на счета злоумышленников, минимально вмешиваясь в работу системы. В компании раскрыли названия заражённых образов и рассказали, как работает обнаруженный стилер.

Trojan.Clipper.231 подменяет адреса криптокошельков в буфере обмена на адреса злоумышленников, и пользователь по недосмотру переводит средства на их кошельки. По подсчётам «Доктор Веб», с помощью этого метода хакеры уже похитили около $19 000.

Специалисты обнаружили зловредную программу на ПК одного из своих клиентов. Также на нём были два других вредоноса — Trojan.MulDrop22.7578 и Trojan.Inject4.57873, необходимые для запуска стилера. Дальнейшее исследование показало, что клиент скачал уже заражённую сборку Windows с торрент-трекера. Всего было найдено пять инфицированных «кастомов»:

• Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso
• Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso

Каждая из них доступна на одном из торрент-трекеров. Но можно предположить, что это не единственный канал распространения стилера. Его инициализации в системе происходит в несколько этапов.

На первом этапе через планировщик задач запускается вредоносная программа, которая создаёт новый логический диск и монтирует новый EFI-раздел, внедряя в систему остальные компоненты вредоносного ПО. Затем происходит внедрение трояна в системный процесс Trojan.Clipper.231 в системный процесс %WINDIR%\\System32\\Lsaiso.exe, а временные файлы удаляются.

Trojan.Clipper.231 отслеживает содержимое буфера обмена и подменяет скопированные адреса криптокошельков на адреса, заданные злоумышленниками. При этом у него имеется ряд ограничений. Во-первых, выполнять подмену он начинает только при наличии системного файла %WINDIR%\\INF\\scunown.inf. Во-вторых, троян мониторит активные процессы. Если он обнаруживает опасные для себя приложения, то подмена адресов криптокошельков не производится.

В компании уточнили, что рекомендуют пользователям скачивать только оригинальные образы Windows, а также отметили, что антивирусные решения Dr.Web успешно определяют и нейтрализуют Trojan.Clipper.231 и связанные с ним вредоносные приложения.