Sigurnosni tim Kaspersky Laba nabasao je na novootkriveni malware nazvan StrongPity koji navodno kvari legitimne WinRAR i TrueCrypt datoteke.
WinRAR je jedan od najbolje usluge za arhiviranje datoteka na sustavu Windows, kao i za komprimiranje i izdvajanje dok je TrueCrypt ukinuti alat za enkripciju u letu. StrongPity cilja na računala maskirajući se kao instalater spomenutog softvera i stječući potpunu kontrolu. Također može pokušati ukrasti datoteke, oštetiti ih ili čak preuzeti nove module na stroju.
Zlonamjerni softver primijećen je na mjestima širom svijeta, uključujući Tursku, sjevernu Afriku i Bliski istok i, prema Kaspersky Labu, glavna mjesta na kojima se nalazi ovaj zaraženi dio koda su Italija i Belgija. Strategija koju napadači koriste da bi zavarali korisnike zamjenjuje dva premještena slova u imenima njihovih domena i zadržava njihov URL što bliže autentičnom web mjestu za instalaciju. Poveznica datoteke instalacijskog programa preusmjerava se na legitimno web mjesto distributera WinRAR-a, a ovo je samo prednja strana WinRAR-a.
Na donjoj slici moći ćete uočiti plavi gumb koji smo istaknuli koji korisnike preusmjerava na "ralrab [.] Com" koji žrtve oštećuje softverske web lokacije, a u nekim slučajevima (od kojih je jedan zabilježen u Italiji) gdje korisnici nisu usmjeravani na lažne web stranice već na malver StrongPity sebe.
„Podaci Kaspersky Laba otkrivaju da je tijekom jednog tjedna zlonamjerni softver isporučen s web mjesta distributera u Italiji pojavio se na stotinama sustava diljem Europe i sjeverne Afrike / Bliskog Istoka, s puno više vjerojatnih infekcija ", rekla je firma. “Tijekom cijelog ljeta najviše su pogođeni Italija (87 posto), Belgija (5 posto) i Alžir (4 posto). Geografija žrtve sa zaraženog mjesta u Belgiji bila je slična, a korisnici u Belgiji činili su polovicu (54 posto) od više od 60 uspješnih pogodaka. "
Osim toga, zlonamjerni softver također je navodno usmjeravao korisnike na lažne, oštećene web stranice umjesto na instalacijski program TrueCrypt. Iako su mnoge oštećene WinRAR veze uklonjene, još uvijek postoje neki instalatori TrueCrypt, kao što je predloženo u izvješću Kapersky Labs iz rujna. Razvoj za TrueCrypt obustavljen je od svibnja 2014. nakon što je Microsoft napustio Windows XP.
Kurt Baumgartner, glavni istraživač sigurnosti u Kaspersky Labu, uspoređuje StrongPity sa Čučeći napadi Yetija / Energičnog medvjeda koja je preuzela i zarazila web mjesta s autentičnom distribucijom softvera. Ovaj trend naziva "nepoželjnim i opasnim" i kaže da se mora odmah riješiti.
“Ove su taktike nepoželjan i opasan trend kojem se sigurnosna industrija mora pozabaviti. Potraga za privatnošću i integritetom podataka ne bi smjela izlagati pojedinca uvredljivoj šteti od vodenih rupa. Napadi Waterholea u biti su neprecizni i nadamo se da ćemo potaknuti raspravu oko potrebe za lakšom i poboljšanom provjerom isporuke alata za šifriranje. " rekao je Kurt Baumgartner.
Najviše što možemo učiniti je redovito ažurirati naše korisnike i savjetovati ih da budu pametni i oprezni dok instaliraju uslužne programe jer mogu sadržavati varljive veze. Destruktivni zlonamjerni softver poput StrongPity može lako pretvoriti vaše računalo u oštećeni stroj.
