Piracki Windows 10, który kradnie pieniądze w kryptowalutach

Po raz kolejny światło dzienne ujrzały powody, dla których nie warto instalować pirackiego systemu operacyjnego na swoim komputerze. Tym razem chodzi o kradzież kryptowalut.

Firma Doctor Web opublikowała raport, w którym opisała swoje najnowsze odkrycie. Po sieci krąży kilka wersji pirackiego systemu Windows 10 „wzbogaconych” o dodatkowe funkcjonalności szkodzące użytkownikom. Mowa o wbudowanym trojanie, który wykrada kryptowaluty, podmieniając skopiowane do schowka adresy portfeli krypto. Jak twierdzi Doctor Web, hakerom udało się już wykraść ponad 19 000 USD w krypto (informacja z 13 czerwca 2023).

Jako że malware w tym przypadku jest „wbudowany” w system, trudno się przed nim chronić, gdy zostanie już zainstalowany. Zwykle zalecane programy, takie jak porządny antywirus czy Windows 10 VPN (narzędzie szyfrujące i zabezpieczające dane wysyłane przez internet) mogą okazać się nieskuteczne w tej sytuacji.

System operacyjny, który kradnie kryptowaluty

Niedawno odkryty trojan wbudowany w pirackie systemy Windows 10 nosi nazwę Trojan.Clipper.231. Jest to główna część malware odpowiadająca za podmienianie adresów portfeli skopiowanych do schowka na inne, dostarczone przez twórców oprogramowania.

Gdy użytkownik zainfekowanego systemu kopiuje adres portfela (najczęściej w celu przesłania kryptowaluty innej osobie), adres ten zostaje zamieniony, a środki – przesłane na inny portfel. Jedną z zalet transakcji kryptowalutowych jest to, że są anonimowe i niemożliwe do wycofania, co w tym wypadku działa na niekorzyść ofiary oszustwa.

Pozostałe części omawianego złośliwego oprogramowania noszą nazwy Trojan.MulDrop22.7578 i Trojan.Inject4.57873. Pierwsza z nich to tak zwany dropper, czyli trojan umożliwiający zainstalowanie innego malware. Druga – injector – odpowiada za „wnikanie” oprogramowania w pliki i procesy systemowe, przez co ofierze trudno jest wykryć podejrzaną aktywność.

Do tej pory odkryto kilka złośliwych wersji systemów rozpowszechnianych w sieciach torrent. Ich nazwy to:

• Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso

• Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso

• Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso

• Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso

• Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso

Omawiany trojan jest trudny do wykrycia i ofiara może dokonać wielu transakcji krypto, zanim zorientuje się, że jej środki są przesyłane nie tam, gdzie powinny. Jego działanie rozpoczyna się w momencie instalowania systemu operacyjnego.

Dropper najpierw tworzy nową, tymczasową partycję systemową EFI, do której kopiowane są dwie pozostałe części malware. Następnie z partycji C:\ usuwane są oryginalne pliki trojana, uruchamiany jest injector, a tymczasowa partycja zostaje odinstalowana. Injector „wstrzykuje” główną część trojana (Trojan.Clipper.231) do procesów systemowych. W tym momencie możliwe jest już to, do czego zostało stworzone oprogramowanie, a więc podmienianie adresów kryptoportfeli w schowku.

Porady dotyczące bezpieczeństwa podczas instalowania systemów operacyjnych

Jak widać na powyższym przykładzie, naprawdę nie warto ryzykować i pobierać niesprawdzonych plików z podejrzanych źródeł, a tym bardziej, jeśli chodzi o instalatory systemu operacyjnego. Wbudowane w nie złośliwe oprogramowanie aktywuje się bowiem na etapie instalacji i uruchamiania systemu, przez co jest praktycznie niemożliwe do wykrycia.

Trojan podmieniający adresy portfeli to także nie pierwszy (i na pewno nie ostatni) przykład tego, co może znaleźć się w pirackim systemie operacyjnym. Nielegalnie rozpowszechniane i zmodyfikowane systemy mogą zawierać luki w systemach bezpieczeństwa, wbudowane ransomware, koparki kryptowalut i różne inne „świństwa”, z którymi nikt nie chce mieć do czynienia. Warto pamiętać, że komputer osobisty to urządzenie często przechowujące poufne dane i dokumenty – jego bezpieczeństwo jest zatem kluczowe.

Wiemy, że darmowe oprogramowanie kusi (niektórzy próbują nawet generować klucze do Windowsa za pomocą ChatuGPT), ale mimo wszystko zalecamy instalowanie wyłącznie legalnych, licencjonowanych systemów operacyjnych. Oficjalny Windows to między innymi gwarancja otrzymywania regularnych aktualizacji i łatek bezpieczeństwa, a powszechnie wiadomo, że nieaktualne systemy pełne „dziur” są idealne dla hakerów.

A co jeszcze można zrobić, by zwiększyć swoje bezpieczeństwo?

• Zainstalować oprogramowanie antywirusowe. Wspomnieliśmy na początku artykułu, że antywirus może być nieskuteczny w walce z malware, który jest „wbudowany” w system, ale nie znaczy to, że należy z niego rezygnować. Legalny system operacyjny też może zostać zainfekowany wirusem.

• Korzystać z sieci VPN. Usługa VPN szyfruje dane przesyłane przez internet i zwiększa prywatność użytkownika. Jest wręcz niezbędna w takich sytuacjach jak łączenie się z publiczną siecią Wi-Fi.

• Zadbać o silne i prawidłowo przechowywane hasła. Kradzież hasła do jednego konta może skończyć się włamaniem na wszystkie inne, jeśli wszędzie używa się tych samych danych logowania. Hasła powinny być silne i unikalne. Wiemy, że trudno byłoby je wszystkie zapamiętać, dlatego zalecamy przechowywanie ich w szyfrowanych menadżerach haseł (nie w plikach .docx albo .txt!).

• Uważać na podejrzane próby kontaktu. Dziś nawet zwykły e-mail może być nośnikiem złośliwego oprogramowania. Warto zatem dokładnie czytać wiadomości i sprawdzać je pod kątem błędów i nieścisłości, a także absolutnie nie otwierać żadnych załączników, jeśli nie ma się pewności, skąd pochodzą.

• Sprawdzić ustawienia przeglądarki. Nowoczesne przeglądarki mają wbudowane opcje bezpieczeństwa blokujące skrypty śledzące, wyskakujące okienka (te mogą zawierać złośliwe skrypty) i reklamy (również przekierowujące do fałszywych witryn). Dobrze zatem od czasu do czasu sprawdzić, czy ustawienia te są włączone. W razie potrzeby warto też instalować dodatkowe wtyczki (oczywiście te oficjalne i sprawdzone).