Télécharger une copie de Windows à partir de sources en ligne louches n’est jamais une bonne idée, mais c’était encore plus dangereux en Ukraine récemment. La société de cybersécurité Mandiant a identifié une version cheval de Troie de Windows 10 distribuée en ligne, et elle a été modifiée spécifiquement pour accéder aux systèmes informatiques ukrainiens. Bien qu’il n’y ait pas d’empreintes digitales claires sur l’ISO malveillant, Mandiant note que les cibles se chevauchent avec les opérations précédentes des services de sécurité russes.
Le programme d’installation de Windows prétend être une version 64 bits de Windows 10, intitulée « Win10_21H2_Ukrainian_x64.iso ». Il utilise le pack de langue ukrainien et a été distribué principalement sur toloka.to, un tracker torrent qui se concentre sur les utilisateurs ukrainiens. Il est également apparu sur un tracker torrent russe. Il semble probable que cette campagne de logiciels malveillants soit liée à la guerre en cours en Ukraine.
D’après Mandiantla campagne ne semble avoir aucun motif financier — il n’y a pas rançongiciel installateurs ou mineurs de crypto à voir. Bien que la distribution d’un ISO Windows ne soit pas le moyen le plus efficace d’introduire ces packages malveillants sur les machines. Il est cependant utile si vous souhaitez un accès complet à un système avec la possibilité d’installer des packages de logiciels malveillants supplémentaires lorsque vous trouvez une cible juteuse. La façon dont ces outils supplémentaires ont été déployés a conduit Mandiant à soupçonner l’agence d’espionnage russe GRU et des groupes de piratage soutenus par le gouvernement comme APT28.
L’installation de l’ISO malveillant vous donnera ce qui semble être une version entièrement fonctionnelle de Windows 10, mais le code sous-jacent a été modifié de plusieurs manières essentielles. D’une part, il ne renvoie pas la télémétrie de sécurité à Microsoft comme le fait une version régulière de Windows. Après l’installation, les outils intégrés analysent le système à la recherche d’informations utiles via des tâches système planifiées et modifiées. Ces données sont ensuite envoyées à un serveur distant. Certaines installations ont également été chargées d’outils malveillants supplémentaires après l’installation, ce qui suggère que ces cibles présentaient un intérêt particulier pour les pirates.
Mandiant a identifié plusieurs machines exécutant la version infectée de Windows dans les réseaux du gouvernement ukrainien. Les machines ont commencé à communiquer avec les opérateurs via un tunnel TOR crypté en juillet 2022. Il s’agit d’un nouveau type d’attaque et que nous verrons peut-être plus souvent à mesure que le conflit en Ukraine s’éternise. Contrairement à de nombreuses campagnes de logiciels malveillants, celle-ci est facile à éviter. Ne téléchargez simplement pas de versions fragmentaires de Windows à partir de sites torrent. Microsoft vous laissera réellement télécharger les ISO Windows directement de la source de nos jours.
Maintenant lis: