Curiosamente il protagonista non è il sistema operativo (Windows 10 in questo caso), bensì un suo installer infetto.
Gli enti governativi in Ucraina sono stati violati in questa nuova campagna che sfruttava le versioni trojanizzate dei file di installazione di Windows 10 per condurre attività illecita a livello informatico.
Come ha fatto questo installer infetto di Windows 10 ad arrivare alle istituzioni ucraine?
Mandiant, che ha scoperto l’attacco ai sistemi informatici intorno alla metà di luglio 2022, ha affermato che i file ISO dannosi sono stati distribuiti tramite siti Web Torrent in lingua ucraina e russa; or come ora sono sotto monitoraggio anche i vari cluster delle minacce come UNC4166.
“Dopo l’installazione del software infetto, il malware raccoglie informazioni sul sistema compromesso e le estrae [nei dispositivi dei malintenzionati]“, ha affermato la società di sicurezza informatica in un approfondimento tecnico pubblicato giovedì scorso.
Sebbene la provenienza di questa ISO con installer infetto sia sconosciuta, si dice che le intrusioni abbiano preso di mira organizzazioni che erano state precedentemente vittime di dirompenti attacchi di wiper attribuiti ad APT28, un autore di minacce informatiche sponsorizzato dallo stato russo.
Il file ISO, secondo la società di intelligence sulle minacce di proprietà di Google, è stato progettato per disabilitare la trasmissione di dati di telemetria dal computer infetto a Microsoft, installare backdoor di PowerShell, nonché bloccare gli aggiornamenti automatici e la verifica della licenza.
L’obiettivo principale dell’operazione (tramite il disseminare questo installer malevolo) sembra essere stato la raccolta di informazioni, con impianti aggiuntivi distribuiti in vari dispositivi, ma solo dopo aver condotto una ricognizione iniziale dell’ambiente compromesso per determinare se contiene le informazioni ricercate dai malintenzionati tramite programmini appositi.
Tra questi programmini si includevano Stowaway, uno strumento proxy open source, Cobalt Strike Beacon e SPAREPART, una backdoor leggera programmata in C, che consente all’autore di eseguire comandi, raccogliere dati, acquisire sequenze di tasti e schermate e scaricare le informazioni su un server remoto.
In alcuni casi, pare che il malintenzionato abbia tentato di scaricare per poi installare il browser anonimo TOR sul dispositivo della vittima. Sebbene il motivo esatto di questa azione non sia affatto chiaro, si sospetta che possa essere servito come percorso di scaricamento di dati alternativo (per diminuire le probabilità di essere beccati, in sostanza).
SPAREPART, come suggerisce il nome, è considerato un malware ridondante distribuito per mantenere l’accesso remoto al sistema nel caso in cui gli altri metodi di hacking (come l’installer infetto, ad esempio) fallissero. È anche funzionalmente identico alle backdoor di PowerShell rilasciate all’inizio di questo attacco hacker.
“L’uso di ISO trojanizzati è nuovo nelle operazioni di spionaggio e le funzionalità anti-rilevamento incluse indicano che gli autori dietro questa attività sono attenti alla sicurezza e pazienti, poiché l’operazione avrebbe richiesto un tempo e delle risorse significative per svilupparsi e attendere che l’ISO fosse installato su una rete di interesse“, ha detto Mandiant.
Può questa storia dell’installer infetto di Windows 10 colpire utenti privati?
Senza tanti giri di parole: sì.
Effettivamente molti cercano scorciatoie per avere il sistema operativo gratuito, sembra che aver diminuito di molto i prezzi (ad esempio una licenza di Windows 10 è acquistabile su Amazon a meno di 20€, se pensi che intero il sistema ti costerebbe 200€ e passa…) non abbia dissuaso gli utenti dalla pirateria.
Tra il pericolo dei KMS, si aggiunge anche quello degli installer dannosi distribuiti da chissà chi.
Anche se magari non si tratta di virus o malware in senso stretto, la cosa potrebbe essere comunque fastidiosa e fare danni al PC; solitamente questo capita ai cosiddetti “cuggini”, ossia degli pseudo-tecnici che si improvvisano “esperti” quando installano i driver di Windows tramite programmi esterni di dubbia fattura e non facendo la cosa più logica: andare nelle fonti dei relativi produttori e prendere i driver da lì.
Come questa pratica può danneggiare così tanto l’ambiente software da costringere a reinstallare il sistema operativo (senza parlare di distribuire malware difficili da rilevare pure dagli antivirus), allo stesso modo questi installer possono creare non pochi problemi.
