Op verschillende torrentwebsites zijn besmette Windows 10 ISO-bestanden aangetroffen die informatie over het systeem verzamelen en naar de aanvallers terugsturen, die vervolgens aanvullende malware kunnen installeren. Volgens securitybedrijf Mandiant zijn de besmette ISO-bestanden gericht op Oekraïense gebruikers en zijn verschillende Oekraïense overheidsinstanties via de malware besmet geraakt.
De ISO-bestanden doen zich voor als Windows 10 met een Oekraïens taalpakket. Het gaat hier om een Windows 10 ISO-bestand voor het installeren van Windows 10, aangevuld met een "software piracy script", aldus Mandiant. Dit script schakelt verschillende legitieme Windows-services en -taken uit, alsmede Windows-updates en blokkeert ip-adressen van verschillende legitieme Microsoft-diensten. Ook schakelt het script OneDrive uit en activeert de Windows-licentie.
Na de installatie wordt er echter ook informatie over het systeem verzameld en teruggestuurd naar de aanvallers. Die kunnen vervolgens besluiten om aanvullende malware te installeren, zoals een backdoor waarmee controle over het systeem wordt verkregen. Mandiant stelt dat het de malware bij drie verschillende Oekraïense overheidsinstanties heeft aangetroffen. Organisaties worden aangeraden om software alleen via de officiële website van de leverancier te downloaden. Zo zijn ISO-bestanden voor Windows 10 te downloaden via de website van Microsoft.
Deze posting is gelocked. Reageren is niet meer mogelijk.