Trong ngữ cảnh: Phân vùng hệ thống EFI đóng một vai trò quan trọng trong quá trình khởi động Windows, nhưng nó cũng cung cấp một “nơi trú ẩn an toàn” tiềm ẩn cho phần mềm độc hại và các mối đe dọa bảo mật. Mặc dù vẫn còn hiếm nhưng “xâm nhập EFI” là một chiến thuật ngày càng được sử dụng bởi các dòng phần mềm độc hại mới hơn.
TRONG Lời nói của chính MicrosoftPhân vùng hệ thống EFI (ESP) là bắt buộc trên các hệ thống UEFI để khởi động từ ổ lưu trữ được phân vùng theo kiểu GPT – UEFI và GPT là hai tiến bộ công nghệ được thiết kế để thay thế các tiêu chuẩn BIOS và MBR đã lỗi thời.
Phân vùng EFI, thường nằm trên “ổ cứng” chính của hệ thống, chứa bộ tải khởi động và hình ảnh hạt nhân của hệ điều hành, trình điều khiển thiết bị cơ bản được phần sụn UEFI sử dụng khi khởi động và các công cụ phần mềm khác cần thiết để chạy trước khi hệ điều hành được tải đúng cách vào ĐẬP.
Là một thành phần cơ bản trong quy trình khởi động Windows hiện đại, phân vùng EFI đã trở thành mục tiêu đặc quyền cho các mối đe dọa bảo mật phức tạp và tiên tiến nhất hiện có. Bộ công cụ khởi động BlackLotus UEFI khét tiếng khai thác ESP để ẩn khỏi phần mềm bảo mật và giờ đây, một “kẻ đánh cắp tiền điện tử” mới được phát hiện đang làm điều tương tự để thử và thoát khỏi sự phát hiện của phần mềm chống vi-rút.
Được xác định bởi phần mềm bảo mật Dr.Web do Nga sản xuất, Trojan.Clipper.231 là một ứng dụng trojan ẩn trong một số bản dựng ISO “lậu” của Windows 10 Pro (22H2) đang được phân phối trên mạng BitTorrent. web bác sĩ phát hiện ra mối đe dọa sau khi được một khách hàng liên hệ vào cuối tháng 5 năm 2023, với các phân tích sâu hơn xác nhận việc lây nhiễm đang diễn ra trên máy tính Windows 10 của khách hàng.
Ba phần lây nhiễm bao gồm phần mềm độc hại được thiết kế để đánh cắp các loại tiền điện tử phổ biến (Trojan.Clipper.231), phần mềm trojan dropper (Trojan.MulDrop22.7578) và phần mềm tiêm mã (Trojan.Inject4.57873) được sử dụng để khởi chạy phần mềm độc hại clipper. Ba tệp đã được xác định trong một số bản dựng tùy chỉnh ISO, dường như được nhắm mục tiêu đến người dùng nói tiếng Nga với tên tệp chẳng hạn như “Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 của BoJlIIIebnik RU.iso”.
Sau khi được cài đặt trên PC, bản dựng Windows độc hại được thiết kế để chạy trình nhỏ giọt (“iscsicli.exe”) thông qua Trình lập lịch tác vụ của hệ thống. Trình nhỏ giọt được thiết kế để gắn phân vùng EFI dưới dạng ổ đĩa “M:”, sao chép hai thành phần độc hại khác trên phân vùng, xóa trojan gốc khỏi ổ C: và cuối cùng khởi chạy trình tiêm trong khi ngắt kết nối phân vùng EFI.
Sau đó, người tiêm đưa mã clipper vào quy trình hệ thống “lsaiso.exe”, nơi Trojan.Clipper.231 sẽ hoạt động kể từ bây giờ. Clipper giám sát khay nhớ tạm của Windows, kiểm tra xem các địa chỉ ví tiền điện tử có đang được người dùng sao chép và thay thế chúng hay không có địa chỉ được kiểm soát bởi bọn tội phạm mạng. Hơn nữa, clipper kiểm tra các quy trình đang hoạt động để thử và tránh bị phát hiện bởi các công cụ phân tích nổi tiếng như Process Explorer, Task Manager, Process Monitor và ProcessHacker.
Theo số liệu do Doctor Web cung cấp, bọn tội phạm mạng nói trên đã đánh cắp được ít nhất 19.000 USD tiền điện tử từ các địa chỉ ví hợp pháp cho đến nay. Tiến sĩ Web cho biết việc phần mềm độc hại xâm nhập vào phân vùng EFI dưới dạng vectơ tấn công vẫn còn rất hiếm, vì vậy bất kỳ trường hợp mới nào được xác định đều có thể được các chuyên gia bảo mật máy tính quan tâm.