Il team di sicurezza di Kaspersky Lab si è imbattuto in un malware appena scoperto chiamato StrongPity che presumibilmente corrompe i file WinRAR e TrueCrypt legittimi.
WinRAR è uno dei i migliori servizi per l'archiviazione di file su Windows e per la compressione e l'estrazione mentre TrueCrypt è uno strumento di crittografia al volo interrotto. StrongPity prende di mira i computer travestendosi da installatore per detto software e ottenendo il pieno controllo. Potrebbe anche tentare di rubare file, corromperli o persino scaricare nuovi moduli sulla macchina.
Il malware è stato osservato in località di tutto il mondo, tra cui Turchia, Nord Africa e Medio Oriente e, secondo Kaspersky Lab, le posizioni principali in cui risiede questo pezzo di codice infetto sono in Italia e Belgio. La strategia utilizzata dagli aggressori per ingannare gli utenti è sostituire due lettere trasposte nei loro nomi di dominio e mantenere il loro URL il più vicino possibile al sito di installazione autentico. Il collegamento al file del programma di installazione viene quindi reindirizzato al sito legittimo del distributore WinRAR e questo è solo il fronte WinRAR.
Nell'immagine qui sotto, sarai in grado di individuare un pulsante blu che abbiamo evidenziato che reindirizza gli utenti a "ralrab[.]com" portando le vittime a corrotti siti software, e in alcuni casi (di cui uno registrato in Italia) dove gli utenti non sono stati indirizzati a siti fittizi ma al malware StrongPity si.
“I dati di Kaspersky Lab rivelano che nel corso di una sola settimana il malware è stato consegnato dal sito del distributore in Italia apparso su centinaia di sistemi in tutta Europa e in Nord Africa/Medio Oriente, con molte più infezioni probabili", il ditta ha detto. “Durante l'intera estate, l'Italia (87 percento), il Belgio (5 percento) e l'Algeria (4 percento) sono stati i più colpiti. La geografia della vittima dal sito infetto in Belgio era simile, con gli utenti in Belgio che rappresentavano la metà (54%) di oltre 60 accessi riusciti".
Oltre a ciò, secondo quanto riferito, il malware indirizzava gli utenti a pagine Web ingannevoli e corrotte invece del programma di installazione del software TrueCrypt. Sebbene molti dei collegamenti WinRAR contaminati siano stati rimossi, rimangono ancora alcuni programmi di installazione di TrueCrypt come suggerito dal rapporto di settembre di Kapersky Labs. Gli sviluppi per TrueCrypt sono stati interrotti da maggio 2014 dopo che Microsoft ha abbandonato Windows XP.
Kurt Baumgartner, il principale ricercatore di sicurezza presso Kaspersky Lab, confronta StrongPity a Attacchi di Yeti accovacciato/Orso energetico che ha preso il sopravvento e ha infettato i siti Web di distribuzione di software autentici. Si riferisce a questa tendenza come "sgradita e pericolosa" e afferma che deve essere affrontata immediatamente.
“Queste tattiche sono una tendenza sgradita e pericolosa che l'industria della sicurezza deve affrontare. La ricerca della privacy e dell'integrità dei dati non dovrebbe esporre un individuo a danni offensivi da pozze d'acqua. Gli attacchi Waterhole sono intrinsecamente imprecisi e speriamo di stimolare la discussione sulla necessità di una verifica più semplice e migliorata della consegna degli strumenti di crittografia. disse Kurt Baumgartner.
Il massimo che possiamo fare è tenere aggiornati i nostri utenti e consigliare loro di essere intelligenti e cauti durante l'installazione di utilità in quanto potrebbero contenere collegamenti ingannevoli. Il malware distruttivo come StrongPity può facilmente trasformare il tuo PC in una macchina danneggiata.
