Kaspersky Labのセキュリティチームは、正当なWinRARファイルとTrueCryptファイルを破壊したとされるStrongPityと呼ばれる新たに発見されたマルウェアに遭遇しました。
WinRARはの1つです Windowsでファイルをアーカイブし、圧縮と抽出を処理するための最高のサービス 一方、TrueCryptは廃止されたオンザフライ暗号化ツールです。 StrongPityは、ソフトウェアのインストーラーになりすまして完全に制御することにより、コンピューターを標的にします。 また、ファイルを盗んだり、破損したり、マシンに新しいモジュールをダウンロードしたりすることもあります。
このマルウェアは、トルコ、北アフリカ、中東を含む世界中の場所で観察されています。 また、Kaspersky Labによると、この感染したコードが存在する主な場所はイタリアと ベルギー。 攻撃者がユーザーをだますために使用する戦略は、ドメイン名の2つの転置された文字を置き換え、URLを本物のインストーラーサイトにできるだけ近づけることです。 インストーラーのファイルリンクは、正規のWinRARディストリビューターサイトにリダイレクトされます。これは、WinRARフロントにすぎません。
下の画像では、ユーザーを「ralrab [。] com」に再ルーティングして被害者を破損させている、強調表示されている青いボタンを見つけることができます。 ソフトウェアサイト、および場合によっては(そのうちの1つはイタリアで記録された)ユーザーが偽のWebサイトではなく、StrongPityマルウェアに誘導された 自体。
「カスペルスキーのデータによると、1週間の間に、イタリアのディストリビューターサイトからマルウェアが配信されました。 ヨーロッパおよび北アフリカ/中東の何百ものシステムに出現し、さらに多くの感染が発生する可能性があります。」 会社は言った。 「夏全体で、イタリア(87%)、ベルギー(5%)、アルジェリア(4%)が最も影響を受けました。 ベルギーの感染サイトからの被害者の地理は類似しており、ベルギーのユーザーは60回以上の成功したヒットの半分(54パーセント)を占めています。」
それとは別に、マルウェアは、TrueCryptソフトウェアインストーラーではなく、欺瞞的で破損したWebページにユーザーを誘導していると報告されています。 汚染されたWinRARリンクの多くは削除されましたが、Kapersky Labsの9月のレポートで示唆されているように、TrueCryptインストーラーがいくつか残っています。 TrueCryptの開発は、MicrosoftがWindows XPを放棄した後、2014年5月から中止されました。
KasperskyLabの主任セキュリティ研究者であるKurtBaumgartnerは、StrongPityを しゃがみイエティ/エネルギッシュな熊の攻撃 それが乗っ取り、本物のソフトウェア配布Webサイトに感染しました。 彼はこの傾向を「歓迎されない危険な」と呼び、すぐに対処しなければならないと言います。
「これらの戦術は、セキュリティ業界が対処する必要のある、歓迎されない危険な傾向です。 プライバシーとデータの整合性の検索は、個人を攻撃的な滝壺の損傷にさらしてはなりません。 ウォーターホール攻撃は本質的に不正確であり、暗号化ツールの配信の検証をより簡単かつ改善する必要性についての議論に拍車をかけたいと考えています。」 カート・バウムガルトナーは言った。
私たちができることのほとんどは、ユーザーを最新の状態に保ち、ユーティリティをインストールする際は、欺瞞的なリンクが含まれている可能性があるため、賢く慎重になるようにアドバイスすることです。 StrongPityのような破壊的なマルウェアは、PCを損傷したマシンに簡単に変える可能性があります。
