Загрузка копии Windows из сомнительных онлайн-источников никогда не была хорошей идеей, но в наши дни в Украине это еще более опасно. Его компания Mandiant, занимающаяся кибербезопасностью, обнаружила троянскую версию Windows 10, циркулирующую в Интернете. Сообщается, что эта версия троянца специально модифицирована для получения доступа к украинским компьютерным системам. Хотя явных доказательств причастности России к вредоносному ISO нет, Mandiant отмечает, что такие цели пересекаются с предыдущими усилиями России по обеспечению безопасности. Установщик Windows — это его 64-битная сборка Windows 10 с пометкой «Win10_21H2_Ukrainian_x64.iso». Он использует украинский языковой пакет и распространялся на его трекере toloka.to через торрент, который в первую очередь ориентирован на украинских пользователей. Позже он также появился на российском торрент-трекере. Эта вредоносная версия его Windows может быть связана с продолжающейся военной операцией в Украине.
У этой вредоносной программы, похоже, нет финансовых мотивов. Установщики программ-вымогателей и крипто-майнеры невидимы. Однако, как упоминалось ранее, распространение файлов Windows ISO — не самый эффективный способ получить эти вредоносные пакеты на ваш компьютер. Однако если вы хотите получить полный доступ к системе с возможностью установки дополнительных пакетов вредоносных программ при обнаружении опасных целей, этот способ распространения троянца эффективен.
После установки вредоносного ISO-образа пользователи увидят то, что выглядит как полнофункциональная версия Windows 10, но базовый код был изменен несколькими важными способами. Во-первых, он не отправляет телеметрию безопасности в Microsoft, как это делают обычные сборки Windows. После установки встроенный инструмент сканирует вашу систему на наличие полезной информации, используя запланированные и измененные системные задачи. Эти данные отправляются на удаленный сервер. Некоторые программы также могли быть заражены дополнительными вредоносными программами во время установки, что в конечном итоге позволяет предположить, что эти цели представляли особый интерес для хакеров. Были обнаружены несколько машин с зараженными версиями своей Windows в украинских правительственных сетях. Машина начала передавать информацию хакерам через свой зашифрованный TOR-туннель в июле 2022 года. Это новый тип атаки, который начали использовать по мере затягивания конфликта в Украине. В отличие от многих вредоносных атак, эту легко избежать. Недавно Microsoft разрешила украинцу скачать свой ISO-образ Windows напрямую из официальных источников.