Una nueva campaña de malware aprovechó versiones troyanizadas de los archivos de instalación de Windows 10 para realizar actividades posteriores a la explotación. Los archivos ISO maliciosos se distribuyeron a través de sitios web de Torrent.
Mandiant (firma estadounidense de ciberseguridad y una subsidiaria de Google), descubrió el ataque de «socially engineered supply chain» a mediados de julio de 2022.
«Tras la instalación del software comprometido, el malware recopila información sobre el sistema comprometido y lo extrae», dijo la compañía de ciberseguridad en un análisis técnico profundo que realizaron.
El archivo ISO, fue diseñado para deshabilitar la transmisión de datos de telemetría desde la computadora infectada a Microsoft, instalar puertas traseras de PowerShell, así como bloquear actualizaciones automáticas y verificación de licencia.
Las herramientas adicionales que se instalaban son: una herramienta proxy de código abierto, un backdoor liviano que permite al atacante ejecutar comandos, recopilar datos, capturar pulsaciones de teclas y capturas de pantalla, y exportar la información a un servidor remoto.
En algunos casos, el atacante intentó descargar el navegador TOR en el dispositivo de la víctima. Si bien la razón exacta de esta acción no está clara, se sospecha que pudo haber servido como una ruta de exfiltración alternativa.
Para prevenir este tipo de situación es importante aplicar el principio de seguridad informática de la Autenticidad, que nos indica que debemos verificar que la fuente y el archivo en cuestión son auténticos.