安全廠商Doctor Web近日在調查中發現一種名為Clipper的惡意木馬程式,該程式在網路上利用盜版Windows ISO檔散播,旨在竊取受害者的加密貨幣。Clipper木馬會將用戶裝置上的加密貨幣電子錢包地址置換成攻擊者控制的伺服器地址,藉此竊取用戶的財產。
這種惡意程式特別針對盜版的Windows 10 Pro 22H2系統ISO映像檔,Clipper木馬從一開始就潛伏在其中。這些受感染的ISO檔案主要透過Torrent Tracker伺服器的P2P傳輸擴散,不過研究人員認為其傳播方式可能還包括其他網站。
Clipper木馬的感染過程十分狡猾,首先有一個名為dropper的程式會在Windows建立EFI磁碟分區。然後載入名為Inject的程式並將Clipper注入到合法的系統行程Lsaiso.exe中。Clipper會檢查目標系統中是否存在安全程式,如果存在,Clipper將保持低調;如果不存在,Clipper將會將Windows剪貼簿中的加密貨幣錢包地址置換為攻擊者控制的伺服器地址。這種攻擊手法很少見,但卻十分有效,到目前為止,駭客已經竊取了價值約1.9萬美元的以太幣和比特幣。Doctor Web公司呼籲用戶應從正規網站下載Windows ISO映像檔,避免成為駭客攻擊的目標。