Para infiltrarse en el gobierno ucraniano, un grupo de piratas informáticos recurrió a la circulación de instaladores de Windows 10 a través de torrents que estaban manipulados en secreto para entregar malware.
Los hallazgos provienen de la firma de seguridad cibernética Mandiant, que a principios de este año descubrió que el ataque atrapó varios dispositivos dentro de las redes del gobierno ucraniano.
Los piratas informáticos adaptaron los instaladores maliciosos de Windows 10 para usar el paquete de idioma ucraniano. Luego se distribuyeron a través de torrents a través de un sitio web ucraniano llamado Toloka.to y a través de un rastreador de torrents ruso. Una descripcion(Se abre en una nueva ventana) para el instalador de Windows 10 indica que fue hecho a la medida para funcionar en dispositivos de un solo propósito, como sistemas médicos y controladores industriales.
Un sitio donde se publicó el instalador. (Crédito: mandante)
El instalador también parece ser gratuito. Pero según Mandiant, se han realizado cambios importantes en el instalador de Windows 10, lo que también hará que el sistema operativo robe datos. Los piratas informáticos también pueden usar el sistema operativo instalado para colocar código malicioso adicional en una computadora infectada con el fin de capturar pulsaciones de teclas, capturas de pantalla y contraseñas.
Además, los piratas informáticos se aseguraron de deshabilitar varias funciones en el instalador de Windows 10, que incluían «bloquear direcciones IP y dominios relacionados con servicios legítimos de Microsoft» y cerrar las actualizaciones automáticas.
“Mandiant identificó múltiples instalaciones de un ISO troyano”, escribió la compañía en un informe del jueves.(Se abre en una nueva ventana). “Evaluamos que el actor de amenazas distribuyó estos instaladores públicamente y luego usó una tarea de programación integrada para determinar si la víctima debería tener más cargas útiles implementadas”.
Mandiant no pudo descubrir suficiente evidencia para decir quién está detrás de los instaladores troyanos de Windows 10. Pero los atacantes se dirigieron a instituciones que tradicionalmente han sido atacadas por el grupo de hackers patrocinado por el estado ruso Fancy Bear. Además, algunas de las víctimas afectadas por los instaladores maliciosos de Windows 10 sufrieron previamente ataques destructivos de borrado de datos durante el inicio de la invasión rusa de Ucrania.
Recomendado por Nuestros Editores
“Mandiant no ha descubierto vínculos con actividades previamente rastreadas, pero cree que el actor detrás de esta operación tiene el mandato de robar información del gobierno ucraniano”, dijo.
El incidente también subraya los riesgos de descargar software y archivos pirateados de torrents: a veces pueden contener malware. Por lo tanto, es mejor estar atento a tales descargas.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.