Descargar una copia de Windows de fuentes en línea sospechosas nunca es una buena idea, pero recientemente fue aún más peligroso en Ucrania. La firma de seguridad cibernética Mandiant descubrió una versión troyana de Windows 10 que se distribuye en línea y se modificó específicamente para acceder a los sistemas informáticos ucranianos. Si bien no hay huellas dactilares claras en el ISO malicioso, Mandiant dice que los objetivos coinciden con operaciones anteriores de los servicios de seguridad rusos.
Se supone que el instalador de Windows es una compilación de 64 bits de Windows 10 con la etiqueta “Win10_21H2_Ukrainian_x64.iso”. Utiliza el paquete de idioma ucraniano y se distribuye principalmente en toloka.to, un rastreador de torrents que se enfoca en los usuarios ucranianos. También apareció en la alcantarilla rusa. Esta campaña maliciosa parece estar relacionada con la guerra en curso en Ucrania.
Según Mandiant, la campaña no parece tener ninguna motivación financiera. sin instaladores de ransomware ni mineros criptográficos. Aunque distribuir una ISO de Windows no es la forma más eficiente de introducir estos paquetes maliciosos en las máquinas. Sin embargo, es útil si desea acceso completo a un sistema que puede instalar paquetes de malware adicionales cuando encuentre un objetivo jugoso. La forma en que se utilizan estas herramientas adicionales ha hecho que Mandiant sospeche de la agencia de espionaje GRU de Rusia y de los grupos de piratería respaldados por el gobierno como APT28.
Al instalar un ISO malicioso, obtendrá lo que parece ser una versión completamente funcional de Windows 10, pero el código subyacente se ha modificado de varias formas importantes. Por un lado, no envía telemetría de seguridad a Microsoft como lo hace una compilación normal de Windows. Una vez instaladas, las herramientas integradas escanean el sistema en busca de información útil a través de tareas del sistema programadas y modificadas. Luego, esos datos se envían a un servidor remoto. Algunas instalaciones también se cargaron con malware adicional una vez instaladas, lo que sugiere que estos objetivos eran de particular interés para los piratas informáticos.
Mandiant encontró varias máquinas que ejecutaban una versión infectada de Windows en las redes del gobierno ucraniano. Las máquinas comenzaron a comunicarse con los operadores a través de un túnel TOR encriptado en julio de 2022. Este es un nuevo tipo de ataque y uno que podemos ver con más frecuencia a medida que se prolonga el conflicto en Ucrania. A diferencia de muchas campañas de malware, esta es fácil de evitar. Simplemente no descargue máscaras de Windows de sitios de torrents. Microsoft te permitirá descargar ISO de Windows directamente desde la fuente en estos días.
Ahora lee.