I ricercatori mettono in guardia chi scarica le ISO di Windows da Torrent, sono in circolo ISO infette da malware.

Attenzione alle ISO infette da malware

Dopo gli installer infetti da malware è il turno delle ISO. Secondo un nuovo report alcuni malintenzionati stanno sfruttando i supporti di installazione di Windows per veicolare malware. In particolare è da evitare il download delle ISO tramite torrent. Nello specifico il malware viene nascosto all’interno della partizione EFI per eluderne il rilevamento da parte degli antivirus che non esaminano la partizione. Questa tecnica rilevata lo scorso maggio è stata utilizzata per rubare criptovalute all’insaputa degli utenti.

Alla fine di maggio 2023, un cliente ha contattato Doctor Web sospettando che il suo computer Windows 10 fosse infetto. L’analisi effettuata dai nostri specialisti ha confermato la presenza di applicazioni trojan nel sistema. Si trattava del malware stealer Trojan.Clipper.231 , nonché del dropper Trojan.MulDrop22.7578 e dell’iniettore Trojan.Inject4.57873 , utilizzati per avviare il clipper. Il laboratorio antivirus di Doctor Web ha localizzato con successo tutte queste minacce e le ha neutralizzate.

Allo stesso tempo, è stato scoperto che il sistema operativo preso di mira era una build non ufficiale e che le app dannose erano integrate fin dall’inizio. La seguente indagine ha rivelato diverse build di Windows infette:

  • Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 di BoJlIIIebnik RU.iso
  • Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 di BoJlIIIebnik RU.iso
  • Windows 10 Pro 22H2 19045.2846 x64 di BoJlIIIebnik RU.iso
  • Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 di BoJlIIIebnik [RU, EN].iso
  • Windows 10 Pro 22H2 19045.2913 x64 di BoJlIIIebnik [RU, EN].iso

Tutti erano disponibili per il download su uno dei tracker torrent, ma è possibile che attori malintenzionati utilizzino anche altri siti per distribuire immagini ISO di sistema infette.

Le app dannose in queste build si trovano nella directory di sistema:

  • \Windows\Installer\iscsicli.exe ( Trojan.MulDrop22.7578 )
  • \Windows\Installer\recovery.exe ( Trojan.Inject4.57873 )
  • \Windows\Installer\kd_08_5e78.dll ( Trojan.Clipper.231 )

A scanso di equivoci il consiglio è quello di non scaricare mai ISO o installer di dubbia provenienza e di affidarsi ai supporti di installazione ufficiali.

Avete avuto esperienze simili? Dove scaricate le vostre ISO? Diteci la vostra nei commenti.

Articolo di Windows Blog Italia