Tim keamanan Kaspersky Lab menemukan malware yang baru ditemukan bernama StrongPity yang diduga merusak file WinRAR dan TrueCrypt yang sah.
WinRAR adalah salah satunya layanan terbaik untuk pengarsipan file di Windows serta menangani kompresi dan ekstraksi sedangkan TrueCrypt adalah alat enkripsi on-the-fly yang dihentikan. StrongPity menargetkan komputer dengan menyamar sebagai penginstal untuk perangkat lunak tersebut dan mendapatkan kontrol penuh. Mungkin juga mencoba mencuri file, merusaknya, atau bahkan mengunduh modul baru di mesin.
Malware telah diamati di lokasi di seluruh dunia termasuk Turki, Afrika Utara, dan Timur Tengah dan, menurut Kaspersky Lab, lokasi utama dari kode yang terinfeksi ini berada di Italia dan Belgium. Strategi yang digunakan penyerang untuk mengelabui pengguna adalah mengganti dua huruf yang dialihkan dalam nama domain mereka dan menjaga URL mereka sedekat mungkin dengan situs penginstal asli. Tautan file penginstal kemudian diarahkan ke situs distributor WinRAR yang sah dan ini hanya bagian depan WinRAR.
Pada gambar di bawah, Anda akan dapat melihat tombol biru yang telah kami soroti yang mengalihkan pengguna ke 'ralrab[.]com' membawa korban ke rusak situs perangkat lunak, dan dalam beberapa kasus (salah satunya direkam di Italia) di mana pengguna tidak diarahkan ke situs web palsu tetapi ke malware StrongPity diri.
“Data Kaspersky Lab mengungkapkan bahwa dalam waktu satu minggu, malware dikirim dari situs distributor di Italia muncul di ratusan sistem di seluruh Eropa dan Afrika Utara/Timur Tengah, dengan lebih banyak kemungkinan infeksi,” kata perusahaan. “Sepanjang musim panas, Italia (87 persen), Belgia (5 persen) dan Aljazair (4 persen) paling terpengaruh. Geografi korban dari situs yang terinfeksi di Belgia serupa, dengan pengguna di Belgia menyumbang setengah (54 persen) dari lebih dari 60 hit yang berhasil.
Selain itu, malware tersebut juga dilaporkan mengarahkan pengguna ke halaman web yang menipu dan korup alih-alih penginstal perangkat lunak TrueCrypt. Meskipun banyak tautan WinRAR yang tercemar telah dihapus, masih ada beberapa penginstal TrueCrypt seperti yang disarankan oleh laporan September Kapersky Labs. Pengembangan untuk TrueCrypt dihentikan mulai Mei 2014 setelah Microsoft meninggalkan Windows XP.
Kurt Baumgartner, peneliti keamanan utama di Kaspersky Lab, membandingkan StrongPity dengan Serangan Yeti/Beruang Energik Berjongkok yang mengambil alih dan menginfeksi situs web distribusi perangkat lunak asli. Dia menyebut tren ini sebagai "tidak diinginkan dan berbahaya" dan mengatakan itu harus segera ditangani.
“Taktik ini adalah tren yang tidak diinginkan dan berbahaya yang perlu ditangani oleh industri keamanan. Pencarian privasi dan integritas data tidak boleh mengekspos seseorang pada kerusakan lubang air yang ofensif. Serangan waterhole secara inheren tidak tepat, dan kami berharap dapat memacu diskusi seputar perlunya verifikasi pengiriman alat enkripsi yang lebih mudah dan lebih baik.” kata Kurt Baumgartner.
Yang paling dapat kami lakukan adalah terus memperbarui pengguna kami dan menyarankan mereka untuk menjadi cerdas dan berhati-hati saat memasang utilitas karena mungkin berisi tautan yang menipu. Malware perusak seperti StrongPity dapat dengan mudah mengubah PC Anda menjadi mesin yang rusak.
