快科技6月16日消息,很多網友下載安裝Windows系統習慣從網上找ISO鏡像,然而這種方式也被別有用心的黑客盯上,通過在ISO鏡像種下木馬,盜竊用戶的數字資產,普通人容易中招。
安全廠商Doctor Web前不久在一傢客戶的Win10電腦中發現問題,後者被種上名為Clipper的木馬程序及其他惡意程序。
據解,Clipper這種木馬會將用戶設備上的加密貨幣電子錢包網址置換成攻擊者控制的服務器網址,借此竊取用戶財產。
這個客戶下載的ISO鏡像不是微軟原版的Win10 Pro 22H2,而是通過P2P網絡下載的,殊不知一開始就被人植入惡意程序。
而且這個木馬的攻擊方式也很罕見,會現在Windows中創建EFI磁盤分區(EFI partition),然後加載一個註入程序,再用進程清空的方式將木馬植入到正常的系統進程Lsaiso.exe中,目的就是避免被安全軟件檢測到。
在控制正常的進程之後,Clipper還會監測用戶是否安裝安全軟件,如果有就按兵不動,如果沒有安全軟件就會在用戶使用電子錢包的過程中竊取信息,替換為黑客控制的服務器,最終盜取財產。
這種攻擊方式很罕見,好在黑客竊取的資金並不算多,才1.9萬美元。