En contexte : la partition système EFI joue un rôle crucial dans le processus de démarrage de Windows, mais elle constitue également un « refuge » potentiel pour les logiciels malveillants et les menaces de sécurité. Bien qu’elle soit encore rare, « l’infiltration EFI » est une tactique de plus en plus utilisée par les nouvelles souches de logiciels malveillants.
Selon les propres termes de Microsoft, la partition système EFI (ESP) est requise sur les systèmes UEFI pour démarrer à partir d’un lecteur de stockage partitionné de style GPT – UEFI et GPT étant deux avancées technologiques conçues pour remplacer les normes BIOS et MBR obsolètes.
La partition EFI, qui réside généralement sur le « disque dur » principal du système, contient le chargeur de démarrage et l’image du Core du système d’exploitation, les drivers de périphérique de base utilisés par le firmware UEFI au démarrage et d’autres outils logiciels nécessaires pour s’exécuter avant que le système d’exploitation ne soit correctement chargé dans RAM.
En tant que composant fondamental du processus de démarrage Windows moderne, la partition EFI est devenue une cible privilégiée pour les menaces de sécurité les plus complexes et les plus avancées. Le tristement célèbre bootkit BlackLotus UEFI exploite l’ESP pour se cacher des logiciels de sécurité, et maintenant un « voleur de crypto » récemment découvert fait de même pour essayer d’échapper à la détection antivirus.
Identifié par le logiciel de sécurité russe Dr.Web, Trojan.Clipper.231 est un cheval de Troie se cachant dans certaines versions ISO « piratées » de Windows 10 Pro (22H2) distribuées sur le réseau BitTorrent. Doctor Web a découvert la menace après avoir été contacté par un client fin mai 2023, des analyses complémentaires confirmant l’infection en cours sur l’ordinateur Windows 10 du client.
L’infection en trois parties comprend un malware conçu pour voler les crypto-monnaies populaires (Trojan.Clipper.231), un trojan dropper (Trojan.MulDrop22.7578) et un injecteur de code (Trojan.Inject4.57873) utilisé pour lancer le malware clipper. Les trois fichiers ont été identifiés dans plusieurs versions personnalisées ISO, qui étaient apparemment destinées aux utilisateurs russophones avec des noms de fichiers tels que « Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 par BoJlIIIebnik RU.iso ».
Une fois installée sur un PC, la version malveillante de Windows est conçue pour exécuter le compte-gouttes (« iscsicli.exe ») via le planificateur de tâches du système. Le dropper est conçu pour monter la partition EFI en tant que lecteur « M:\ », copier les deux autres composants malveillants sur la partition, supprimer le cheval de Troie d’origine du lecteur C: et enfin lancer l’injecteur lors du démontage de la partition EFI.
L’injecteur amène ensuite le code du clipper dans le processus système « lsaiso.exe », où Trojan.Clipper.231 fonctionnera désormais. Le clipper surveille le presse-papiers de Windows, vérifie si les adresses de portefeuille crypto sont copiées par l’utilisateur et les remplace par des adresses contrôlées par les cybercriminels. De plus, le clipper vérifie les processus actifs pour essayer d’éviter d’être détecté par des outils d’analyse bien connus tels que Process Explorer, Task Manager, Process Monitor et ProcessHacker.
Selon les chiffres fournis par Doctor Web, les cybercriminels susmentionnés ont jusqu’à présent réussi à voler au moins 19 000 dollars de crypto-monnaies à partir d’adresses de portefeuille légitimes. L’infiltration de logiciels malveillants dans la partition EFI en tant que vecteur d’attaque est encore très rare, explique le Dr Web, de sorte que tout nouveau cas identifié peut être d’un grand intérêt pour les spécialistes de la sécurité informatique.
Découvrez le reportage du mois (sous-titré en français), l’IA gagnera t-elle face aux champion du monde du jeu de Go ? :
