L'équipe de sécurité de Kaspersky Lab est tombée sur un malware récemment découvert appelé StrongPity qui corrompt prétendument les fichiers légitimes WinRAR et TrueCrypt.
WinRAR est l'un des meilleurs services pour l'archivage de fichiers sur Windows ainsi que pour la compression et l'extraction alors que TrueCrypt est un outil de cryptage à la volée abandonné. StrongPity cible les ordinateurs en se déguisant en installateur dudit logiciel et en obtenant un contrôle total. Il peut également essayer de voler des fichiers, de les corrompre ou même de télécharger de nouveaux modules sur la machine.
Le malware a été observé dans des endroits du monde entier, notamment en Turquie, en Afrique du Nord et au Moyen-Orient. et, selon Kaspersky Lab, les principaux emplacements où réside ce morceau de code infecté sont en Italie et Belgique. La stratégie utilisée par les attaquants pour tromper les utilisateurs consiste à remplacer deux lettres transposées dans leurs noms de domaine et à garder leur URL aussi proche que possible du site d'installation authentique. Le lien du fichier du programme d'installation est ensuite redirigé vers le site de distribution légitime de WinRAR et il ne s'agit que de la façade de WinRAR.
Dans l'image ci-dessous, vous pourrez repérer un bouton bleu que nous avons mis en évidence qui redirige les utilisateurs vers « ralrab[.]com » en prenant les victimes corrompues sites de logiciels, et dans certains cas (dont l'un a été enregistré en Italie) où les utilisateurs n'étaient pas dirigés vers des sites Web factices mais vers le malware StrongPity lui-même.
« Les données de Kaspersky Lab révèlent qu'au cours d'une seule semaine, des logiciels malveillants ont été diffusés depuis le site du distributeur en Italie sont apparus sur des centaines de systèmes à travers l'Europe et l'Afrique du Nord/Moyen-Orient, avec beaucoup plus d'infections probables », le a dit la firme. « Sur tout l'été, l'Italie (87 %), la Belgique (5 %) et l'Algérie (4 %) ont été les plus touchées. La géographie des victimes du site infecté en Belgique était similaire, les utilisateurs en Belgique représentant la moitié (54%) des plus de 60 visites réussies. »
En dehors de cela, le logiciel malveillant aurait également dirigé les utilisateurs vers des pages Web trompeuses et corrompues au lieu du programme d'installation du logiciel TrueCrypt. Bien que de nombreux liens WinRAR entachés aient été supprimés, il reste encore des installateurs TrueCrypt, comme suggéré par le rapport de septembre de Kapersky Labs. Les développements pour TrueCrypt ont été interrompus à partir de mai 2014 après que Microsoft a abandonné Windows XP.
Kurt Baumgartner, chercheur principal en sécurité chez Kaspersky Lab, compare StrongPity à Attaques de Yéti accroupi/Ours énergétique qui ont repris et infecté des sites Web de distribution de logiciels authentiques. Il qualifie cette tendance de « malvenue et dangereuse » et dit qu'elle doit être traitée immédiatement.
« Ces tactiques sont une tendance indésirable et dangereuse que l'industrie de la sécurité doit combattre. La recherche de la confidentialité et de l'intégrité des données ne devrait pas exposer un individu à des dommages offensifs des points d'eau. Les attaques par points d'eau sont intrinsèquement imprécises, et nous espérons stimuler la discussion sur la nécessité d'une vérification plus facile et améliorée de la fourniture d'outils de chiffrement. dit Kurt Baumgartner.
Le mieux que nous puissions faire est de tenir nos utilisateurs au courant et de leur conseiller d'être intelligents et prudents lors de l'installation d'utilitaires car ils peuvent contenir des liens trompeurs. Les logiciels malveillants destructeurs comme StrongPity peuvent facilement transformer votre PC en une machine endommagée.
