De multiples versions piratées de Windows 10 circulent sous format torrent, ce n'est pas un phénomène nouveau. Récemment, bon nombre d'ISOs (images disque) ont été détectées avec un malware intégré dans la partition, le rendant difficilement détectable.
Les réseaux de hackers ont trouvé une astuce imparable pour distribuer des versions piratées de l'OS. Le malware est directement intégré dans la partition EFI (Extensible Firmware Interface). Cette méthode lui permet d'esquiver tranquillement les analyses antivirus classiques. En effet, la partition EFI n'est pas scannée systématiquement par ces derniers.
L'EFI, la bonne planque pour un malware
La partition EFI est essentielle au bon fonctionnement des systèmes UEFI (Unified Extensible Firmware Interface). Elle contient l'ensemble des fichiers de démarrage et les informations nécessaires au chargement du système d'exploitation. Elle est la clef de voûte du processus de démarrage et de la gestion des périphériques dans les ordinateurs compatibles UEFI, c'est-à-dire de 80 % des machines du marché. Grâce à une interface plus moderne et flexible, elle permet un amorçage du système plus agréable que par le biais d'un BIOS traditionnel.
Les hackers utilisent donc cette partition comme un espace de stockage pour leur petite bête malveillante. Parfaitement conscients que les antivirus classiques ne scannent généralement pas cette partition, ils ont ainsi tout le loisir d'y glisser ce qu'ils veulent.
Une infiltration digne de Sam Fisher
Les différentes ISOs contaminées identifiées par les chercheurs de Dr. Web contiennent des fichiers suspects directement incrustés dans le répertoire système tels que :
- \Windows\Installer\iscsccli.exe (fichier distributeur)
- \Windows\Installer\recovery.exe (fichier injecteur)
- \Windows\Installer\kd_08_5e78.dll (fichier détourneur)
Si une installation est lancée à partir d'un ISO présentant ce profil, une tâche planifiée est programmée. Celle-ci met en route le distributeur qui configurera la partition EFI en tant que lecteur « M:\ ». L'injecteur prend ensuite le relais et copie les deux fichiers, kd_08_5e78.dll sur le lecteur « C:\ ». Le fichier détourneur se met ensuite en route pour scanner le PC à la recherche de portefeuilles de crypto-monnaies. Pour faire simple, cela permet aux hackers de passer tous les systèmes de sécurité grâce à l'action conjointe de ces trois fichiers et de venir se servir à loisir dans les wallets. Un braquage tout en douceur, en somme.
Ces ISOs de Windows 10 transportent dans leur processus d'installation un malware judicieusement caché. En échappant aux détections classiques des antivirus, celui-ci peut venir se servir dans vos économies virtuelles. Moralité de cette histoire ? Ne téléchargez pas des OS sur des sites douteux et contentez-vous humblement des versions officielles.
Sources: BleepingComputer, Dr. Web
