Windows 10: le ISO pirata nascondono un crypto stealer

I ricercatori di Dr. Web hanno segnalato di aver trovato del malware, precisamente un crypto stealer, in alcune ISO pirata di Windows 10 che vengono distribuite tramite torrent.

Windows 10: crypto stealer nelle ISO pirata via torrent

Andando più in dettaglio, sul finire dello scorso maggio, un cliente di Dr. Web ha segnalato che il suo computer era stato infettato. Dopo un'accurata analisi del sistema, il team di ricercatori di sicurezza informatica ha scovato tre file sospetti nella directory \Windows\Installer, ovvero: iscsicli.exe (dropper), recovery.exe (injector) e kd_08_5e78.dll (clipper).

Dopo ulteriore verifiche. Dr. Web ha poi scoperto che la copia del sistema operativo installata era una versione pirata di Windows 10 Pro 22H2.

Quando l’utente ha aperto l’immagine ISO per effettuare l'installazione dell'OS è stata avviata un’attività pianificata che effettua il dropper, montando una partizione EFI come M:\ in cui viene effettuata la copia dei file.

In seguito, viene eseguito l’injector e tramite la tecnica Process Hollowing viene iniettato il clipper, un crypto stealer che monitora in tempo reale gli appunti di Windows, nel processo di sistema Lsaiso.exe.

Qualora il malware dovesse "intercettare" l’indirizzo di un wallet, lo sostituisce con quello dei criminali informatici e, come facilmente intuibile, le criptovalute vengono inviate al loro portafoglio.

Sino a questo momento, stando ai calcoli fatti dal team di da Dr. Web, mediante il sistema descritto poc'anzi sono stati rubati Bitcoin e Ethereum per un valore totale di circa 19.000 dollari.

Ovviamente, per evitare di incappare in situazioni di questo genere è sempre consigliabile affidarsi a software ufficiali, senza contare il fatto che la pirateria costituisce un reato perseguibile dalla legge.