A equipe de segurança da Kaspersky Lab encontrou um malware recém-descoberto chamado StrongPity que supostamente corrompe arquivos WinRAR e TrueCrypt legítimos.
WinRAR é um dos melhores serviços para arquivar arquivos no Windows, bem como lidar com compactação e extração enquanto TrueCrypt é uma ferramenta de criptografia instantânea descontinuada. O StrongPity tem como alvo os computadores disfarçando-se como um instalador para o referido software e ganhando controle total. Ele também pode tentar roubar arquivos, corrompê-los ou até mesmo baixar novos módulos na máquina.
O malware foi observado em locais ao redor do mundo, incluindo Turquia, Norte da África e Oriente Médio e, de acordo com a Kaspersky Lab, os principais locais onde esse código infectado reside são na Itália e Bélgica. A estratégia que os invasores usam para enganar os usuários é substituir duas letras transpostas em seus nomes de domínio e manter seu URL o mais próximo possível do site do instalador autêntico. O link do arquivo do instalador é então redirecionado para o site legítimo do distribuidor WinRAR e esta é apenas a frente do WinRAR.
Na imagem abaixo, você poderá localizar um botão azul destacado que redireciona os usuários para ‘ralrab [.] Com’ levando as vítimas para corromper sites de software e, em alguns casos (um dos quais foi registrado na Itália), onde os usuários não foram direcionados para sites falsos, mas para o malware StrongPity em si.
“Os dados da Kaspersky Lab revelam que, no decorrer de uma única semana, o malware foi entregue a partir do site do distribuidor na Itália apareceu em centenas de sistemas em toda a Europa e Norte da África / Oriente Médio, com muito mais infecções prováveis, ”o empresa disse. “Durante todo o verão, Itália (87 por cento), Bélgica (5 por cento) e Argélia (4 por cento) foram os mais afetados. A geografia da vítima do site infectado na Bélgica era semelhante, com usuários na Bélgica respondendo por metade (54 por cento) de mais de 60 acessos bem-sucedidos. ”
Além disso, o malware também estava supostamente direcionando os usuários para páginas da web fraudulentas e corruptas, em vez do instalador do software TrueCrypt. Embora muitos dos links WinRAR corrompidos tenham sido removidos, ainda existem alguns instaladores TrueCrypt, conforme sugerido pelo relatório de setembro do Kapersky Labs. O desenvolvimento do TrueCrypt foi descontinuado em maio de 2014, depois que a Microsoft abandonou o Windows XP.
Kurt Baumgartner, o principal pesquisador de segurança da Kaspersky Lab, compara o StrongPity com Ataques de Yeti Agachado / Urso Energético que assumiu e infectou sites de distribuição de software autênticos. Ele se refere a essa tendência como “indesejável e perigosa” e diz que deve ser tratada imediatamente.
“Essas táticas são uma tendência indesejável e perigosa que a indústria de segurança precisa abordar. A busca por privacidade e integridade de dados não deve expor um indivíduo a danos ofensivos em poços de água. Ataques de poços de água são inerentemente imprecisos e esperamos estimular a discussão em torno da necessidade de verificação mais fácil e aprimorada da entrega de ferramentas de criptografia. ” disse Kurt Baumgartner.
O máximo que podemos fazer é manter nossos usuários atualizados e aconselhá-los a serem inteligentes e cautelosos ao instalar utilitários, pois eles podem conter links enganosos. Malwares destrutivos como o StrongPity podem facilmente transformar seu PC em uma máquina danificada.
