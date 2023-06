Criminelen hebben via een illegale versie van Windows 10 zo'n 19.000 dollar aan cryptovaluta weten te stelen, zo stelt antivirusbedrijf Doctor Web. Het via torrent-trackers aangeboden ISO-bestand van Windows 10 is voorzien van malware die voor de besmetting van het systeem onder andere gebruikmaakt van een EFI-partitie, wat opvallend is, aldus de virusbestrijder.

Het ISO-bestand bevat Windows 10, maar ook een aantal toegevoegde malafide applicaties. Eén daarvan mount een EFI-partitie waarop onderdelen van de malware worden opgeslagen. De EFI (Extensible Firmware Interface) systeempartitie wordt normaliter door de UEFI-firmware gebruikt voor het laden van bestanden tijdens het opstarten van de computer, maar in dit geval gebruikt de malware het als een opslaglocatie.

Nadat de malware de EFI-systeempartitie heeft gemount en de onderdelen daarnaartoe zijn gekopieerd, wordt de oorspronkelijke malware van de C-schijf verwijderd en de EFI-partitie ge-unmount. Door middel van een techniek genaamd "process hollowing" wordt de malware in een systeemproces geïnjecteerd. De malware in kwestie is ontwikkeld om adressen van cryptowallets in het clipboard te wijzigen in die van de aanvallers.

Clipper-malware, zoals deze vorm van malware wordt genoemd, maakt gebruik van het feit dat cryptogebruikers die een betaling willen doen of geld naar een andere wallet willen overmaken hiervoor vaak het walletadres van de begunstigde kopiëren en vervolgens in een veld op de transactiepagina plakken. Op dat moment bevindt het adres zich in het clipboard van de computer. Malware op de computer kan het adres aanpassen, waardoor de aanvaller het geld ontvangt.

Aan de hand van de door de aanvallers gebruikte cryptowallets stelt Doctor Web dat er via de malware 19.000 dollar aan cryptovaluta is buitgemaakt. Om dergelijke infecties te voorkomen adviseert de virusbestrijder om ISO-bestanden van besturingssystemen alleen via betrouwbare bronnen te downloaden.