Het beveiligingsteam van Kaspersky Lab stuitte op een nieuw ontdekte malware genaamd StrongPity die naar verluidt legitieme WinRAR- en TrueCrypt-bestanden corrumpeert.
WinRAR is een van de beste services voor het archiveren van bestanden op Windows en voor het omgaan met compressie en extractie terwijl TrueCrypt een on-the-fly encryptietool is die niet meer leverbaar is. StrongPity richt zich op computers door zichzelf te vermommen als een installatieprogramma voor de software en volledige controle te krijgen. Het kan ook proberen om bestanden te stelen, ze te beschadigen of zelfs nieuwe modules op de machine te downloaden.
De malware is waargenomen op locaties over de hele wereld, waaronder Turkije, Noord-Afrika en het Midden-Oosten en volgens Kaspersky Lab zijn de belangrijkste locaties waar dit geïnfecteerde stukje code zich bevindt in Italië en België. De strategie die aanvallers gebruiken om gebruikers voor de gek te houden, is door twee getransponeerde letters in hun domeinnamen te vervangen en hun URL zo dicht mogelijk bij de authentieke installatiesite te houden. De bestandslink van het installatieprogramma wordt vervolgens doorgestuurd naar de legitieme WinRAR-distributiesite en dit is slechts het WinRAR-front.
In de onderstaande afbeelding ziet u een blauwe knop die we hebben gemarkeerd en die gebruikers omleidt naar 'ralrab[.]com', waarbij slachtoffers naar corrupte softwaresites, en in sommige gevallen (waarvan er één werd opgenomen in Italië) waar gebruikers niet werden doorverwezen naar schijnwebsites maar naar de StrongPity-malware zelf.
“Uit gegevens van Kaspersky Lab blijkt dat er in de loop van een week malware werd geleverd vanaf de distributeurssite in Italië verscheen op honderden systemen in heel Europa en Noord-Afrika/Midden-Oosten, met waarschijnlijk nog veel meer infecties”, aldus de firma zei. “De hele zomer werden Italië (87 procent), België (5 procent) en Algerije (4 procent) het zwaarst getroffen. De geografische ligging van het slachtoffer van de geïnfecteerde site in België was vergelijkbaar, met gebruikers in België die verantwoordelijk waren voor de helft (54 procent) van meer dan 60 succesvolle hits.”
Afgezien daarvan stuurde de malware gebruikers naar verluidt ook naar bedrieglijke, corrupte webpagina's in plaats van naar het TrueCrypt-software-installatieprogramma. Hoewel veel van de besmette WinRAR-links zijn verwijderd, zijn er nog steeds enkele TrueCrypt-installatieprogramma's, zoals gesuggereerd door het septemberrapport van Kapersky Labs. Ontwikkelingen voor TrueCrypt werden stopgezet vanaf mei 2014 nadat Microsoft Windows XP had verlaten.
Kurt Baumgartner, de belangrijkste beveiligingsonderzoeker bij Kaspersky Lab, vergelijkt StrongPity met Crouching Yeti/Energetic Bear-aanvallen die authentieke softwaredistributiewebsites overnamen en infecteerden. Hij noemt deze trend "ongewenst en gevaarlijk" en zegt dat deze onmiddellijk moet worden aangepakt.
“Deze tactieken zijn een ongewenste en gevaarlijke trend die de beveiligingsindustrie moet aanpakken. Het zoeken naar privacy en gegevensintegriteit mag een persoon niet blootstellen aan aanstootgevende waterputschade. Waterhole-aanvallen zijn inherent onnauwkeurig en we hopen de discussie op gang te brengen over de noodzaak van een eenvoudigere en verbeterde verificatie van de levering van encryptietools.” zei Kurt Baumgartner.
Het beste wat we kunnen doen, is onze gebruikers op de hoogte houden en hen adviseren om slim en voorzichtig te zijn bij het installeren van hulpprogramma's, omdat deze misleidende links kunnen bevatten. Destructieve malware zoals StrongPity kan uw pc gemakkelijk in een beschadigde machine veranderen.
