Kaspersky Labs säkerhetsteam snubblade över en nyupptäckt skadlig kod som heter StrongPity som påstås förstöra legitima WinRAR- och TrueCrypt-filer.
WinRAR är en av de bästa tjänster för arkivering av filer på Windows samt hantering av komprimering och extraktion medan TrueCrypt är ett avbrutet on-the-fly krypteringsverktyg. StrongPity riktar in sig på datorer genom att förkläda sig som en installatör för programvaran och få full kontroll. Det kan också försöka stjäla filer, skada dem eller till och med ladda ner nya moduler på maskinen.
Skadlig programvara har observerats på platser runt om i världen inklusive Turkiet, Nordafrika och Mellanöstern och enligt Kaspersky Lab är de viktigaste platserna som denna infekterade kod ligger i Italien och Belgien. Strategin som angripare använder för att lura användare är att ersätta två transponerade bokstäver i sina domännamn och hålla sin URL så nära den autentiska installationswebbplatsen som möjligt. Installationsfilens länk omdirigeras sedan till den legitima WinRAR-distributörssidan och detta är bara WinRAR-fronten.
I bilden nedan kommer du att kunna upptäcka en blå knapp som vi har markerat som omdirigerar användare till "ralrab [.] Com" som tar offren till skadade mjukvaruwebbplatser, och i vissa fall (varav ett spelades in i Italien) där användarna inte riktades till bluffwebbplatser utan till StrongPity-skadlig programvara sig.
”Kaspersky Lab-data avslöjar att under en vecka levereras skadlig kod från distributörswebbplatsen i Italien uppträdde i hundratals system i hela Europa och norra Afrika / Mellanöstern, med många fler infektioner sannolikt, ” sade företaget. ”Under hela sommaren drabbades Italien (87 procent), Belgien (5 procent) och Algeriet (4 procent) mest. Offrets geografi från den infekterade webbplatsen i Belgien var liknande, och användare i Belgien svarade för hälften (54 procent) av mer än 60 framgångsrika träffar. ”
Bortsett från det, riktade malware också användarna till bedrägliga, korrupta webbsidor istället för TrueCrypt-programvaruinstallatören. Även om många av de smittade WinRAR-länkarna har tagits bort finns det fortfarande några TrueCrypt-installatörer som föreslås av Kapersky Labs septemberrapport. Utvecklingen för TrueCrypt avbröts från maj 2014 efter att Microsoft övergav Windows XP.
Kurt Baumgartner, den främsta säkerhetsforskaren vid Kaspersky Lab, jämför StrongPity med Crouching Yeti / Energetic Bear attacker som tog över och infekterade äkta mjukvarudistributionswebbplatser. Han hänvisar till denna trend som ”ovälkommen och farlig” och säger att den måste åtgärdas omedelbart.
”Dessa taktiker är en ovälkommen och farlig trend som säkerhetsindustrin behöver ta itu med. Sökandet efter integritet och dataintegritet bör inte utsätta en person för stötande vattenhålsskador. Vattenhålsattacker är i sig inexakta, och vi hoppas kunna stimulera diskussioner kring behovet av enklare och förbättrad verifiering av krypteringsverktygsleverans. ” sa Kurt Baumgartner.
Det bästa vi kan göra är att hålla våra användare uppdaterade och rekommendera dem att vara smarta och försiktiga när de installerar verktyg eftersom de kan innehålla vilseledande länkar. Destruktiv skadlig kod som StrongPity kan enkelt göra din dator till en skadad maskin.
