Екипът на Kaspersky Lab по сигурността се натъкна на новооткрит злонамерен софтуер, наречен StrongPity, който твърди, че корумпира легитимни файлове WinRAR и TrueCrypt.
WinRAR е един от най-добрите услуги за архивиране на файлове в Windows, както и за справяне със компресирането и извличането като има предвид, че TrueCrypt е прекратен инструмент за криптиране в движение. StrongPity е насочен към компютрите, като се маскира като инсталатор на споменатия софтуер и получава пълен контрол. Той може също да се опита да открадне файлове, да ги повреди или дори да изтегли нови модули на машината.
Злонамереният софтуер е наблюдаван на места по света, включително Турция, Северна Африка и Близкия изток и според Лабораторията на Касперски, основните местоположения, в които се намира този заразен код, са в Италия и Белгия. Стратегията, която атакуващите използват, за да заблудят потребителите, заменя две транспонирани букви в имената на техните домейни и поддържа URL адреса им възможно най-близо до автентичния сайт за инсталиране. След това връзката на файла на инсталатора се пренасочва към законния сайт на дистрибутора на WinRAR и това е само пред WinRAR.
На изображението по-долу ще можете да забележите синия бутон, който сме подчертали, който пренасочва потребителите към „ralrab [.] Com“, като жертвите са повредени софтуерни сайтове, а в някои случаи (един от които е записан в Италия), където потребителите не са били насочвани към фалшиви уебсайтове, а към зловредния софтуер StrongPity себе си.
„Данните от Лабораторията на Касперски разкриват, че в рамките на една седмица злонамерен софтуер, доставен от сайта на дистрибутора в Италия се появи в стотици системи в цяла Европа и Северна Африка / Близкия изток, с много повече вероятни инфекции “, твърди фирмата. „През цялото лято Италия (87 процента), Белгия (5 процента) и Алжир (4 процента) бяха най-засегнати. Географията на жертвите от заразения сайт в Белгия е подобна, като потребителите в Белгия представляват половината (54 процента) от над 60 успешни посещения. “
Освен това зловредният софтуер също е насочвал потребителите към измамни, корумпирани уеб страници, вместо към инсталатора на софтуера TrueCrypt. Въпреки че много от опетнените връзки на WinRAR са премахнати, все още остават някои инсталатори на TrueCrypt, както се предлага от септемврийския доклад на Kapersky Labs. Разработките за TrueCrypt бяха прекратени от май 2014 г., след като Microsoft изостави Windows XP.
Курт Баумгартнер, главният изследовател по сигурността в Лабораторията на Касперски, сравнява StrongPity с Клекнали атаки на Йети / Енергична мечка които поеха и заразиха автентични уеб сайтове за разпространение на софтуер. Той се позовава на тази тенденция като „нежелана и опасна“ и казва, че тя трябва да бъде отстранена незабавно.
„Тези тактики са нежелана и опасна тенденция, която индустрията за сигурност трябва да предприеме. Търсенето на неприкосновеност на личния живот и целостта на данните не трябва да излага физическо лице на обидни щети от водни дупки. Waterhole атаките по своята същност са неточни и ние се надяваме да подтикнем дискусията около необходимостта от по-лесна и подобрена проверка на доставката на инструменти за криптиране. " - каза Кърт Баумгартнер.
Максималното, което можем да направим, е да поддържаме нашите потребители актуализирани и да ги съветваме да бъдат умни и предпазливи, докато инсталират помощни програми, тъй като те могат да съдържат измамни връзки. Деструктивният зловреден софтуер като StrongPity може лесно да превърне вашия компютър в повредена машина.
