บริษัทความปลอดภัย Doctor Web รายงานข่าวการระบาดของไฟล์ ISO เถื่อนของ Windows 10 ที่แจกตามเว็บไซต์ torrent ต่างๆ แอบฝังมัลแวร์ในพาร์ทิชัน Ext
พาร์ทิชัน EPI เป็นพาร์ทิชันขนาดเล็กบนดิสก์ ที่มีไฟล์สำหรับ bootloader ใช้ในการบูท OS ขึ้นมาอีกที พาร์ทิชันนี้เป็นส่วนหนึ่งของระบบบูท UEFI ในภาพรวม ที่นำมาใช้แทนระบบ BIOS เดิม
ไฟล์ ISO เถื่อนอาศัยว่าผู้ใช้ดาวน์โหลดไฟล์เพื่อไปติดตั้ง OS ใหม่ ได้สิทธิการเข้าถึงขั้นสูงสุดตั้งแต่แรกอยู่แล้ว จึงแอบฝังมัลแวร์-โทรจันเข้ามาในตัวติดตั้งด้วย เท่าที่ตรวจพบมี 3 ไฟล์ทำงานร่วมกัน\Windows\Installer\kd_08_5e78.dll Doctor Web อธิบายว่าพฤติกรรมของมัลแวร์ตัวแรกจะเมาท์พาร์ทิชัน EFI ขึ้นมาเป็นไดรฟ์ M: จากนั้นฝังมัลแวร์อีกสองตัวลงไป ยกเลิกการเมาท์ จากนั้นมัลแวร์ตัวที่สองที่รันขึ้นมา จะหาวิธีฝังมัลแวร์ตัวที่สามลงในโพรเซส Lsaiso.exe ของระบบเพื่อเข้าถึงข้อมูลในคลิปบอร์ด และแทรกตำแหน่งที่อยู่คริปโตของคนร้ายลงไป หากเครื่องนั้นมีคำสั่งโอนเงินคริปโต ก็จะเป็นการโอนไปยังกระเป๋าเงินคริปโตของคนร้ายแทน
Doctor Web ตรวจสอบจากที่อยู่คริปโตเหล่านี้ พบว่าคนร้ายได้เงินคริปโตไปแล้ว 0.73406362 BTC และ 0.07964773 ETH เทียบเท่าเงินจริง 18,976.29 ดอลลาร์ หรือราว 6.6 แสนบาท ถึงแม้ความเสียหายไม่เยอะ แต่ในแง่เทคนิควิธีการถือว่าน่าสนใจมากทีเดียวในหมู่นักวิจัยความปลอดภัยWindows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.isoWindows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.isoWindows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].