Los piratas informáticos están utilizando torrents para distribuir versiones pirateadas de Windows 10 que ocultan malware en la partición EFI (Interfaz de firmware extensible).
Esta técnica les permite evadir la detección y alojar secuestradores de criptomonedas en los sistemas y otros códigos maliciosos con el objetivo de extraer datos.
¿Qué es la partición EFI?
La partición EFI es una pequeña partición del sistema que contiene el gestor de arranque y archivos relacionados que se ejecutan antes de que el sistema operativo inicie.
Es esencial para los sistemas basados en UEFI, que reemplazan al obsoleto BIOS.
La amenaza del malware en la partición EFI
Los piratas informáticos han utilizado particiones EFI modificadas para activar malware desde fuera del contexto del sistema operativo y sus herramientas de defensa.
En este caso, los ISO piratas de Windows 10 descubiertos por los investigadores de Dr. Web utilizan la partición EFI como un espacio de almacenamiento seguro para componentes del malware Clipper.
Riesgo de detección limitada
Dado que las herramientas antivirus estándar no escanean regularmente la partición EFI, el malware puede pasar desapercibido y evadir la detección. Esto plantea un riesgo significativo para los usuarios.
Cómo es el funcionamiento del malware
El informe de Dr. Web revela que las compilaciones maliciosas de Windows 10 ocultan aplicaciones en el directorio del sistema, como «iscsicli.exe» (cuentagotas), «recovery.exe» (inyector) y «kd_08_5e78.dll» (clipper).
Estos archivos se inyectan en el sistema una vez que se instala el sistema operativo a través del ISO pirateado.
El Clipper y su impacto en las criptomonedas
Una vez que se inicia el Clipper, monitorea el portapapeles del sistema en busca de direcciones de billeteras de criptomonedas. Si se encuentran, el malware las reemplaza por direcciones controladas por el atacante.
Dr. Web estima que los piratas informáticos han obtenido al menos $ 19,000 en criptomonedas mediante este método.
Es crucial evitar descargar sistemas operativos pirateados, ya que pueden contener malware persistente.
Los creadores de estas compilaciones no oficiales tienen la capacidad de ocultar fácilmente amenazas peligrosas en ellos.
Para garantizar la seguridad de tu sistema, siempre opta por fuentes oficiales y legítimas al descargar software.
