EFI particija sustava igra ključnu ulogu u procesu pokretanja sustava Windows, ali također pruža potencijalno “sigurno utočište” za zlonamjerni softver i sigurnosne prijetnje. Iako još uvijek rijetka, “EFI infiltracija” je taktika koju sve više koriste noviji zlonamjerni softveri.
Prema riječima Microsofta , EFI sistemska particija (ESP) potrebna je na UEFI sustavima za pokretanje s particioniranog diska za pohranu u GPT stilu – UEFI i GPT su dva tehnološka unapređenja dizajnirana da zamijene zastarjele BIOS i MBR standarde.
EFI particija, koja se obično nalazi na primarnom “tvrdom disku” sustava, sadrži bootloader operativnog sustava i sliku jezgre, osnovne upravljačke programe uređaja koje koristi UEFI firmware u vrijeme pokretanja i druge softverske alate potrebne za pokretanje prije nego što se OS pravilno učita u RAM.
Budući da je temeljna komponenta unutar modernog procesa pokretanja sustava Windows, EFI particija postala je povlaštena meta za najsloženije i najnaprednije sigurnosne prijetnje. Zloglasni BlackLotus UEFI bootkit iskorištava ESP kako bi se sakrio od sigurnosnog softvera, a sada novootkriveni “kripto kradljivac” radi isto kako bi pokušao izbjeći otkrivanje antivirusa.
Identificiran ruskim sigurnosnim softverom Dr.Web, Trojan.Clipper.231 je trojanska aplikacija koja se skriva u nekim “piratskim” ISO verzijama sustava Windows 10 Pro (22H2) koje se distribuiraju na BitTorrent mreži. Doctor Web je otkrio prijetnju nakon što ga je korisnik kontaktirao krajem svibnja 2023., a daljnje analize potvrdile su da je infekcija u tijeku na Windows 10 računalu korisnika.
Trodijelna infekcija uključuje zlonamjerni softver dizajniran za krađu popularnih kriptovaluta (Trojan.Clipper.231), trojanski dropper (Trojan.MulDrop22.7578) i injektor koda (Trojan.Inject4.57873) koji se koristi za pokretanje zlonamjernog softvera clipper. Tri su datoteke identificirane u nekoliko prilagođenih ISO verzija, koje su naizgled bile usmjerene na korisnike koji govore ruski s nazivima datoteka poput “Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso”.
Nakon instaliranja na računalo, zlonamjerna verzija sustava Windows dizajnirana je za pokretanje droppera (“iscsicli.exe”) putem planera zadataka sustava. Dropper je dizajniran za montiranje EFI particije kao pogona “M:\”, kopiranje druge dvije zlonamjerne komponente na particiji, brisanje izvornog trojanaca s pogona C: i konačno pokretanje injektora dok demontira EFI particiju.
Injektor zatim dovodi kliper kod u sistemski proces “lsaiso.exe”, gdje će Trojan.Clipper.231 od sada raditi. Clipper nadzire Windows međuspremnik, provjerava kopira li korisnik adrese kripto novčanika i zamjenjuje li ih adresama koje kontroliraju cyber-kriminalci. Nadalje, kliper provjerava aktivne procese kako bi ih pokušao otkriti poznati alati za analizu kao što su Process Explorer, Task Manager, Process Monitor i ProcessHacker.
Prema podacima Doctor Weba, spomenuti cyber-kriminalci do sada su s legalnih adresa novčanika uspjeli ukrasti kriptovalute u vrijednosti od najmanje 19.000 dolara. Infiltracija zlonamjernog softvera u EFI particiju kao način napada još uvijek je vrlo rijetka, kaže Dr. Web, pa svaki novi identificirani slučaj može biti od velikog interesa stručnjacima za računalnu sigurnost.