Хакеры распределили троянизированную сборку Windows 10 для проникновения на украинские цели
Загрузка копии Windows из Shady Online Sources никогда не бывает хорошей идеей, но недавно она была еще более опасной в Украине. Фирма кибербезопасности Mandiant определила троянизированную версию Windows 10, распределенную в Интернете, и была специально изменена для получения доступа к украинским компьютерным системам. Несмотря на то, что на злонамеренном ISO нет четких отпечатков пальцев, Mandiant отмечает, что цели перекрываются с предыдущими операциями со стороны услуг по безопасности России.
Установщик Windows предполагает 64-разрядную сборку Windows 10, помеченная «win10_21H2_ukrainian_x64.iso». Он использует украинский язык и был распространен в основном на Toloka.to, торрент -трекер, который фокусируется на украинских пользователях. Это также появилось на российском торрент -трекере. Вполне вероятно, что эта вредоносная кампания связана с продолжающейся войной в Украине.
По словам Манданта, кампания, похоже, не имеет никаких финансовых мотивов - нет никаких установщиков для вымогателей или крипто -шахтеров. Хотя распределение Windows ISO - не самый эффективный способ донести эти вредоносные пакеты на машины. Это, однако, полезно, если вам нужен полный доступ к системе с возможностью установить дополнительные вредоносные пакеты, когда вы найдете сочную цель. То, как эти дополнительные инструменты были развернуты, привело Манданта, чтобы подозревать российское агентство Gru Spy и поддерживаемые правительством хакерские группы, такие как APT28.
Установка вредоносного ISO даст вам то, что кажется полностью функциональной версией Windows 10, но базовый код был изменен несколькими жизненно важными способами. С одной стороны, он не отправляет телеметрию безопасности обратно в Microsoft как обычную сборку Windows. После установки встроенные инструменты сканируют систему для полезной информации с помощью запланированных и модифицированных системных задач. Эти данные затем отправляются на удаленный сервер. Некоторые установки также были загружены дополнительными вредоносными инструментами после установки, что предполагает, что эти цели представляют особый интерес для хакеров.
Mandiant определил несколько машин, управляющих инфицированной версией Windows в Украинских правительственных сетях. Машины начали общаться с операторами через зашифрованный туннель Tor в июле 2022 года. Это новый вид атаки, который мы можем чаще видеть, как конфликт в Украине. В отличие от многих вредоносных кампаний, этого легко избежать. Просто не скачайте отрывочные версии Windows с торрент -сайтов. Microsoft на самом деле позволит вам загрузить Windows ISOS прямо из источника в наши дни.
Читать далее
Новое вредоносное ПО для Mac использует стеганографию для проникновения в компьютеры
Так называемая полезная нагрузка VeryMal проникает в компьютеры посредством файлов рекламных изображений, пропитанных полезной нагрузкой на основе стеганографии.