Команда безопасности «Лаборатории Касперского» наткнулась на недавно обнаруженное вредоносное ПО под названием StrongPity, которое якобы повреждает легитимные файлы WinRAR и TrueCrypt.
WinRAR - один из лучшие сервисы для архивирования файлов в Windows, а также для сжатия и извлечения в то время как TrueCrypt - это инструмент для оперативного шифрования, который больше не поддерживается. StrongPity нацелен на компьютеры, маскируясь под установщик указанного программного обеспечения и получая полный контроль. Он также может пытаться украсть файлы, повредить их или даже загрузить новые модули на машину.
Вредоносное ПО было обнаружено по всему миру, включая Турцию, Северную Африку и Ближний Восток. и, по данным «Лаборатории Касперского», основные местоположения зараженного фрагмента кода находятся в Италии и Бельгия. Стратегия, которую злоумышленники используют для обмана пользователей, заключается в замене двух транспонированных букв в их доменных именах и сохранении их URL как можно ближе к подлинному сайту установщика. Ссылка на файл установщика затем перенаправляется на законный сайт распространителя WinRAR, и это всего лишь фронт WinRAR.
На изображении ниже вы можете увидеть синюю кнопку, которую мы выделили, которая перенаправляет пользователей на ralrab [.] Com », перенаправляя жертв на поврежденные сайты программного обеспечения, а в некоторых случаях (один из которых был зарегистрирован в Италии), где пользователи были направлены не на фиктивные веб-сайты, а на вредоносное ПО StrongPity сам.
«Данные« Лаборатории Касперского »показывают, что в течение одной недели вредоносное ПО было доставлено с сайта дистрибьютора в Италии. появились в сотнях систем по всей Европе и Северной Африке / на Ближнем Востоке, вероятно, гораздо больше заражений », фирма сказала. «За все лето больше всего пострадали Италия (87 процентов), Бельгия (5 процентов) и Алжир (4 процента). География жертв зараженного сайта в Бельгии была аналогичной: на пользователей в Бельгии приходилось половина (54 процента) из более чем 60 успешных посещений ».
Кроме того, согласно сообщениям, вредоносная программа направляла пользователей на ложные, поврежденные веб-страницы вместо установщика программного обеспечения TrueCrypt. Хотя многие из испорченных ссылок WinRAR были удалены, по-прежнему остаются некоторые установщики TrueCrypt, как указано в сентябрьском отчете Kapersky Labs. Разработка TrueCrypt была прекращена с мая 2014 года после того, как Microsoft отказалась от Windows XP.
Курт Баумгартнер, главный исследователь в «Лаборатории Касперского», сравнивает StrongPity с Крадущийся йети / Энергичный медведь атакует которые захватили и заразили подлинные сайты распространения программного обеспечения. Он называет эту тенденцию «нежелательной и опасной» и говорит, что с ней необходимо немедленно бороться.
«Эта тактика - нежелательная и опасная тенденция, с которой индустрия безопасности должна бороться. Поиски конфиденциальности и целостности данных не должны подвергать человека оскорбительному ущербу от водозабора. Атаки Waterhole по своей сути неточны, и мы надеемся стимулировать обсуждение необходимости более простой и улучшенной проверки доставки инструментов шифрования ». - сказал Курт Баумгартнер.
Максимум, что мы можем сделать, - это держать наших пользователей в курсе и посоветовать им быть умными и осторожными при установке утилит, поскольку они могут содержать вводящие в заблуждение ссылки. Разрушительное вредоносное ПО, такое как StrongPity, может легко превратить ваш компьютер в поврежденный компьютер.
