A Kaspersky Lab biztonsági csapata egy újonnan felfedezett StrongPity rosszindulatú programba botlott, amely állítólag megrontja a törvényes WinRAR és TrueCrypt fájlokat.
A WinRAR az egyik a legjobb szolgáltatások a fájlok archiválásához a Windows rendszeren, valamint a tömörítéssel és kibontással míg a TrueCrypt egy megszűnt on-the-fly titkosító eszköz. Az StrongPity a számítógépeket úgy célozza meg, hogy álcázza magát az említett szoftver telepítőjeként és megszerzi a teljes irányítást. Megpróbálhatja fájlokat is ellopni, megrongálni, vagy akár új modulokat letölteni a gépre.
A kártevőket a világ minden táján megfigyelték, beleértve Törökországot, Észak-Afrikát és a Közel-Keletet és a Kaspersky Lab szerint a fertőzött kódrész fő helyei Olaszországban és Olaszországban találhatók Belgium. A stratégia, amelyet a támadók a felhasználók megtévesztésére használnak, két átültetett betűt cserél le a domain nevükben, és URL-jüket a lehető legközelebb tartja az autentikus telepítő webhelyéhez. Ezután a telepítő fájl linkje a WinRAR törvényes terjesztői oldalra kerül, és ez csak a WinRAR elülső része.
Az alábbi képen felfedezhet egy kék gombot, amelyet kiemeltünk, és amely átirányítja a felhasználókat arra, hogy „ralrab [.] Com” -ra vigyék az áldozatokat a sérültekre szoftveres webhelyek, és egyes esetekben (amelyek közül az egyiket Olaszországban rögzítették), ahol a felhasználókat nem kamu webhelyekre, hanem a StrongPity kártevő programokra irányították maga.
„A Kaspersky Lab adataiból kiderül, hogy egyetlen hét leforgása alatt az olaszországi terjesztői webhelyről kártékony programok szállítottak Európa-szerte és Észak-Afrika / Közel-Keleten több száz rendszeren jelentek meg, és sokkal több fertőzés valószínű "- határozott mondta. „Az egész nyár folyamán Olaszország (87 százalék), Belgium (5 százalék) és Algéria (4 százalék) volt a leginkább érintett. A fertőzött belgiumi áldozatok földrajza hasonló volt, a belga felhasználók több mint 60 sikeres találat felét (54 százalékát) tették ki. ”
Ettől eltekintve a rosszindulatú programok állítólag csaló, sérült weboldalakra is irányították a felhasználókat a TrueCrypt szoftver telepítője helyett. Noha a szennyezett WinRAR-linkek közül sok eltávolításra került, a Kapersky Labs szeptemberi jelentése szerint még mindig vannak néhány TrueCrypt telepítők. A TrueCrypt fejlesztéseit 2014 májusától szüntették meg, miután a Microsoft felhagyott a Windows XP-vel.
Kurt Baumgartner, a Kaspersky Lab vezető biztonsági kutatója összehasonlítja az StrongPity-t Guggoló Yeti / Energikus Medve támadások amelyek átvették és megfertőzték az autentikus szoftverterjesztési weboldalakat. Ezt a tendenciát „nemkívánatosnak és veszélyesnek” nevezi, és szerinte azonnal foglalkozni kell vele.
„Ezek a taktikák nemkívánatos és veszélyes tendenciák, amelyekkel a biztonsági iparnak foglalkoznia kell. A magánélet és az adatok integritásának keresése nem teheti ki az egyént sértő víznyelő-károsodásoknak. A víznyelő támadások eredendően pontatlanok, és reméljük, hogy vitát gerjesztenek a titkosítóeszközök kézbesítésének egyszerűbb és jobb ellenőrzésének szükségességéről. " - mondta Kurt Baumgartner.
A legtöbbet tehetjük, ha naprakészen tartjuk a felhasználóinkat, és azt tanácsoljuk nekik, hogy legyenek okosak és óvatosak a segédprogramok telepítése közben, mivel megtévesztő linkeket tartalmazhatnak. A StrongPity-hez hasonló destruktív kártékony programok könnyen átalakíthatják számítógépét sérült géppé.
