Kaspersky Labs sikkerhetsteam snublet over en nylig oppdaget malware kalt StrongPity som angivelig ødelegger legitime WinRAR- og TrueCrypt-filer.
WinRAR er en av de beste tjenestene for arkivering av filer på Windows samt håndtering av komprimering og utvinning mens TrueCrypt er et avviklet on-the-fly krypteringsverktøy. StrongPity retter seg mot datamaskiner ved å skjule seg som en installatør for programvaren og få full kontroll. Det kan også prøve å stjele filer, ødelegge dem eller til og med laste ned nye moduler på maskinen.
Skadelig programvare har blitt observert på steder rundt om i verden, inkludert Tyrkia, Nord-Afrika og Midt-Østen og ifølge Kaspersky Lab er de viktigste stedene denne infiserte koden bor i Italia og Belgia. Strategien angriperne bruker for å lure brukerne, er å erstatte to transponerte bokstaver i domenenavnene sine og holde URL-en så nær som mulig det autentiske installasjonsstedet. Filkoblingen til installasjonsprogrammet blir deretter omdirigert til det legitime WinRAR-distributørsiden, og dette er bare WinRAR-fronten.
På bildet nedenfor vil du kunne se en blå knapp som vi har uthevet som omdirigerer brukere til å 'ralrab [.] Com' og tar ofre til ødelagte programvaresider, og i noen tilfeller (hvorav den ene ble spilt inn i Italia) der brukerne ikke ble henvist til å pøse med nettsteder, men til StrongPity seg selv.
“Kaspersky Lab-data avslører at malware i løpet av en uke ble levert fra distributørsiden i Italia dukket opp på hundrevis av systemer i hele Europa og Nord-Afrika / Midt-Østen, med mange flere infeksjoner sannsynlig, ” sa firmaet. - I løpet av hele sommeren ble Italia (87 prosent), Belgia (5 prosent) og Algerie (4 prosent) mest berørt. Offergeografien fra det infiserte nettstedet i Belgia var lik, med brukere i Belgia som sto for halvparten (54 prosent) av mer enn 60 vellykkede treff. ”
Bortsett fra det, hadde malware også angivelig ledet brukerne til bedragerske, korrupte websider i stedet for TrueCrypt-programvareinstallatøren. Selv om mange av de besmittede WinRAR-koblingene er fjernet, er det fortsatt noen TrueCrypt-installatører som foreslått av Kapersky Labs 'septemberrapport. Utviklingen for TrueCrypt ble avviklet fra mai 2014 etter at Microsoft forlot Windows XP.
Kurt Baumgartner, den viktigste sikkerhetsforskeren ved Kaspersky Lab, sammenligner StrongPity med Crouching Yeti / Energetic Bear angrep som overtok og infiserte autentiske programvaredistribusjonsnettsteder. Han omtaler denne trenden som "uvelkommen og farlig" og sier at den må adresseres umiddelbart.
“Disse taktikkene er en uvelkommen og farlig trend som sikkerhetsindustrien må ta tak i. Søket etter personvern og dataintegritet bør ikke utsette en person for støtende vannhullskader. Vannhullsangrep er i utgangspunktet upresise, og vi håper å stimulere til diskusjon rundt behovet for enklere og forbedret bekreftelse av levering av krypteringsverktøy. " sa Kurt Baumgartner.
Det meste vi kan gjøre er å holde brukerne våre oppdatert og råde dem til å være smarte og forsiktige når de installerer verktøy, da de kan inneholde villedende lenker. Destruktiv skadelig programvare som StrongPity kan enkelt gjøre PCen din til en skadet maskin.
