Kaspersky Lab drošības komanda uzdūrās nesen atklātai ļaunprātīgai programmatūrai ar nosaukumu StrongPity, kas, iespējams, grauj likumīgos WinRAR un TrueCrypt failus.
WinRAR ir viens no labākie pakalpojumi failu arhivēšanai sistēmā Windows, kā arī ar saspiešanu un ekstrakciju tā kā TrueCrypt ir pārtraukts lidojuma šifrēšanas rīks. StrongPity mērķauditorija ir datori, maskējoties par minētās programmatūras instalētāju un iegūstot pilnīgu kontroli. Tas var arī mēģināt nozagt failus, tos sabojāt vai pat lejupielādēt jaunus moduļus mašīnā.
Ļaunprātīgā programmatūra ir novērota vietās visā pasaulē, tostarp Turcijā, Ziemeļāfrikā un Tuvajos Austrumos un, pēc Kaspersky Lab ziņām, galvenās šīs inficētās koda daļas atrodas Itālijā un Beļģija. Stratēģija, ko uzbrucēji izmanto lietotāju mānīšanai, aizstāj divus transponētus burtus viņu domēnu nosaukumos un saglabā viņu URL pēc iespējas tuvāk autentiskai instalētāja vietnei. Pēc tam instalētāja instalēšanas datnes saite tiek novirzīta uz likumīgo WinRAR izplatītāja vietni, un tā ir tikai WinRAR priekšpuse.
Zemāk redzamajā attēlā jūs varēsiet pamanīt zilu pogu, kuru mēs esam uzsvēruši, kas novirza lietotājus uz “ralrab [.] Com”, kas ved upurus bojātajiem programmatūras vietnes un dažos gadījumos (viena no tām tika reģistrēta Itālijā), kur lietotāji netika novirzīti uz fiktīvām vietnēm, bet uz StrongPity ļaunprogrammatūru pati.
“Kaspersky Lab dati atklāj, ka vienas nedēļas laikā ļaunprogrammatūra tika piegādāta no izplatītāja vietnes Itālijā parādījās simtiem sistēmu visā Eiropā un Ziemeļāfrikā / Tuvajos Austrumos, ar daudzām iespējamām infekcijām, ” firma teica. “Visas vasaras laikā vissmagāk cieta Itālija (87 procenti), Beļģija (5 procenti) un Alžīrija (4 procenti). Upuru ģeogrāfija no inficētās vietas Beļģijā bija līdzīga, un lietotāji Beļģijā bija puse (54 procenti) no vairāk nekā 60 veiksmīgiem trāpījumiem. ”
Neatkarīgi no tā, kā ziņots, ļaunprātīgā programmatūra arī novirzīja lietotājus uz krāpnieciskām, korumpētām tīmekļa vietnēm, nevis TrueCrypt programmatūras instalētāja vietā. Lai gan daudzas no bojātajām WinRAR saitēm ir noņemtas, joprojām ir daži TrueCrypt instalētāji, kā ieteikts Kapersky Labs septembra ziņojumā. TrueCrypt izstrāde tika pārtraukta no 2014. gada maija pēc tam, kad Microsoft atteicās no Windows XP.
Kaspersky Lab galvenais drošības pētnieks Kurts Baumgartners salīdzina StrongPity ar Tupošs Yeti / Enerģētiskais lācis uzbrūk kas pārņēma un inficēja autentiskas programmatūras izplatīšanas vietnes. Viņš atsaucas uz šo tendenci kā “nevēlamu un bīstamu” un saka, ka tā ir nekavējoties jārisina.
“Šī taktika ir nevēlama un bīstama tendence, kas drošības nozarei ir jārisina. Privātuma un datu integritātes meklēšana nedrīkst pakļaut indivīdu aizskarošiem ūdensūdens bojājumiem. Ūdens caurumu uzbrukumi pēc savas būtības ir neprecīzi, un mēs ceram rosināt diskusiju par nepieciešamību vienkāršāk un labāk pārbaudīt šifrēšanas rīku piegādi. ” sacīja Kurts Baumgartners.
Viss, ko mēs varam darīt, ir atjaunināt mūsu lietotājus un ieteikt viņiem būt gudriem un piesardzīgiem, instalējot komunālos pakalpojumus, jo tie var saturēt maldinošas saites. Tādas destruktīvas ļaunprātīgas programmatūras kā StrongPity var viegli pārvērst datoru par bojātu mašīnu.
