Zespół bezpieczeństwa Kaspersky Lab natknął się na nowo odkryte szkodliwe oprogramowanie o nazwie StrongPity, które rzekomo uszkadza legalne pliki WinRAR i TrueCrypt.
WinRAR jest jednym z najlepsze usługi do archiwizacji plików w systemie Windows oraz radzenia sobie z kompresją i ekstrakcją podczas gdy TrueCrypt jest wycofanym narzędziem do szyfrowania w locie. StrongPity atakuje komputery, ukrywając się jako instalator tego oprogramowania i uzyskując pełną kontrolę. Może również próbować ukraść pliki, uszkodzić je, a nawet pobrać nowe moduły na komputer.
Złośliwe oprogramowanie zostało zaobserwowane w miejscach na całym świecie, w tym w Turcji, Afryce Północnej i na Bliskim Wschodzie a według Kaspersky Lab główne lokalizacje tego zainfekowanego kodu znajdują się we Włoszech i Belgia. Strategia, którą atakujący wykorzystują do oszukiwania użytkowników, polega na zastąpieniu dwóch transponowanych liter w ich nazwach domen i utrzymywaniu adresu URL jak najbliżej autentycznej witryny instalatora. Link do pliku instalatora jest następnie przekierowywany do legalnej witryny dystrybutora WinRAR, a to jest tylko front WinRAR.
Na poniższym obrazku widać niebieski przycisk, który podświetliliśmy, który przekierowuje użytkowników do „ralrab[.]com”, przenosząc ofiary do skorumpowanych witryny z oprogramowaniem, a w niektórych przypadkach (z których jeden został zarejestrowany we Włoszech), gdzie użytkownicy nie byli kierowani na fałszywe strony internetowe, ale na złośliwe oprogramowanie StrongPity samo.
„Dane Kaspersky Lab pokazują, że w ciągu jednego tygodnia złośliwe oprogramowanie dostarczone z witryny dystrybutora we Włoszech pojawił się na setkach systemów w całej Europie i Afryce Północnej / na Bliskim Wschodzie, z prawdopodobieństwem o wiele więcej infekcji ” powiedział firma. „Przez całe lato najbardziej ucierpiały Włochy (87 proc.), Belgia (5 proc.) i Algieria (4 proc.). Geografia ofiary z zainfekowanej strony w Belgii była podobna, a użytkownicy w Belgii stanowili połowę (54%) z ponad 60 udanych trafień”.
Poza tym, złośliwe oprogramowanie podobno kierowało użytkowników na zwodnicze, uszkodzone strony internetowe zamiast instalatora oprogramowania TrueCrypt. Chociaż wiele skażonych linków WinRAR zostało usuniętych, nadal istnieją niektóre instalatory TrueCrypt, jak sugeruje wrześniowy raport Kapersky Labs. Rozwój TrueCrypt został przerwany od maja 2014 roku po tym, jak Microsoft porzucił Windows XP.
Kurt Baumgartner, główny badacz bezpieczeństwa w Kaspersky Lab, porównuje StrongPity do Ataki kucającego Yeti/Energicznego Niedźwiedzia który przejął i zainfekował autentyczne witryny dystrybuujące oprogramowanie. Nazywa ten trend jako „niepożądany i niebezpieczny” i mówi, że należy się nim natychmiast zająć.
„Te taktyki są niepożądanym i niebezpiecznym trendem, którym branża bezpieczeństwa musi się zająć. Poszukiwanie prywatności i integralności danych nie powinno narażać osoby na obraźliwe szkody w wodopoju. Ataki w wodopoju są z natury nieprecyzyjne i mamy nadzieję, że pobudzimy dyskusję na temat potrzeby łatwiejszej i ulepszonej weryfikacji dostarczania narzędzi szyfrujących”. powiedział Kurt Baumgartner.
Jedyne, co możemy zrobić, to informować naszych użytkowników na bieżąco i radzić im, aby byli mądrzy i ostrożni podczas instalowania narzędzi, ponieważ mogą zawierać zwodnicze linki. Destrukcyjne złośliwe oprogramowanie, takie jak StrongPity, może łatwo zmienić Twój komputer w uszkodzoną maszynę.
