ทีมรักษาความปลอดภัยของ Kaspersky Lab พบมัลแวร์ที่เพิ่งค้นพบใหม่ชื่อว่า StrongPity ซึ่งถูกกล่าวหาว่าทำลายไฟล์ WinRAR และ TrueCrypt ที่ถูกต้องตามกฎหมาย
WinRAR เป็นหนึ่งใน บริการที่ดีที่สุดสำหรับการเก็บถาวรไฟล์บน Windows รวมถึงการจัดการกับการบีบอัดและการแตกไฟล์ ในขณะที่ TrueCrypt เป็นเครื่องมือเข้ารหัสแบบ on-the-fly ที่ถูกยกเลิก StrongPity กำหนดเป้าหมายคอมพิวเตอร์โดยปลอมตัวเป็นโปรแกรมติดตั้งสำหรับซอฟต์แวร์ดังกล่าวและเข้าควบคุมอย่างสมบูรณ์ นอกจากนี้ยังอาจพยายามขโมยไฟล์ ทำให้เสียหาย หรือแม้กระทั่งดาวน์โหลดโมดูลใหม่ๆ ในเครื่อง
มีการตรวจพบมัลแวร์ในสถานที่ต่างๆ ทั่วโลก รวมถึงตุรกี แอฟริกาเหนือ และตะวันออกกลาง และจากข้อมูลของ Kaspersky Lab ตำแหน่งหลักของโค้ดที่ติดเชื้อนี้อยู่ในอิตาลีและ เบลเยี่ยม. กลยุทธ์ที่ผู้โจมตีใช้เพื่อหลอกผู้ใช้กำลังแทนที่ตัวอักษรที่เปลี่ยนสองตัวอักษรในชื่อโดเมนของพวกเขา และทำให้ URL ของพวกเขาอยู่ใกล้กับไซต์ตัวติดตั้งจริงมากที่สุด ลิงก์ไฟล์ของโปรแกรมติดตั้งจะถูกเปลี่ยนเส้นทางไปยังไซต์ผู้จัดจำหน่าย WinRAR ที่ถูกต้องตามกฎหมาย และนี่เป็นเพียงส่วนหน้าของ WinRAR
ในภาพด้านล่าง คุณจะเห็นปุ่มสีน้ำเงินที่เราไฮไลต์ไว้ ซึ่งจะเปลี่ยนเส้นทางผู้ใช้ไปยัง 'ralrab[.]com' ที่นำเหยื่อไปสู่ความเสียหาย ไซต์ซอฟต์แวร์ และในบางกรณี (หนึ่งในนั้นถูกบันทึกไว้ในอิตาลี) ซึ่งผู้ใช้ไม่ได้ถูกนำไปยังเว็บไซต์หลอกลวง แต่ไปที่มัลแวร์ StrongPity ตัวเอง.
“ข้อมูลของ Kaspersky Lab เปิดเผยว่าในสัปดาห์เดียว มัลแวร์ส่งมาจากไซต์ผู้จัดจำหน่ายในอิตาลี ปรากฏในระบบหลายร้อยระบบทั่วยุโรปและแอฟริกาเหนือ/ตะวันออกกลาง โดยมีแนวโน้มว่าจะติดเชื้อมากขึ้น” บริษัทกล่าวว่า “ตลอดช่วงฤดูร้อน อิตาลี (87 เปอร์เซ็นต์) เบลเยียม (5 เปอร์เซ็นต์) และแอลจีเรีย (4 เปอร์เซ็นต์) ได้รับผลกระทบมากที่สุด ภูมิศาสตร์ของเหยื่อจากไซต์ที่ติดเชื้อในเบลเยียมมีความคล้ายคลึงกัน โดยผู้ใช้ในเบลเยียมคิดเป็นครึ่ง (54 เปอร์เซ็นต์) ของการโจมตีที่ประสบความสำเร็จมากกว่า 60 ครั้ง”
นอกจากนั้น มีรายงานว่ามัลแวร์ยังนำผู้ใช้ไปยังหน้าเว็บที่หลอกลวงและเสียหายแทนโปรแกรมติดตั้งซอฟต์แวร์ TrueCrypt แม้ว่าลิงก์ WinRAR ที่เสียหายจำนวนมากจะถูกลบออก แต่ก็ยังมีตัวติดตั้ง TrueCrypt บางตัวตามที่แนะนำโดยรายงานเดือนกันยายนของ Kapersky Labs การพัฒนาสำหรับ TrueCrypt ถูกยกเลิกตั้งแต่เดือนพฤษภาคม 2014 หลังจากที่ Microsoft ละทิ้ง Windows XP
Kurt Baumgartner นักวิจัยด้านความปลอดภัยหลักของ Kaspersky Lab เปรียบเทียบ StrongPity กับ เยติหมอบ/จู่โจมหมี Bear ที่เข้ายึดครองเว็บไซต์เผยแพร่ซอฟต์แวร์ของแท้ที่ติดไวรัส เขาอ้างถึงแนวโน้มนี้ว่า "ไม่เป็นที่พอใจและเป็นอันตราย" และกล่าวว่าต้องได้รับการแก้ไขทันที
“กลวิธีเหล่านี้เป็นแนวโน้มที่ไม่พึงปรารถนาและเป็นอันตรายซึ่งอุตสาหกรรมความปลอดภัยจำเป็นต้องแก้ไข การค้นหาความเป็นส่วนตัวและความสมบูรณ์ของข้อมูลไม่ควรทำให้บุคคลได้รับความเสียหายจากแอ่งน้ำ การโจมตีแบบ Waterhole นั้นมีความไม่ชัดเจนโดยเนื้อแท้ และเราหวังว่าจะกระตุ้นการอภิปรายเกี่ยวกับความจำเป็นในการตรวจสอบการส่งมอบเครื่องมือเข้ารหัสที่ง่ายขึ้นและปรับปรุงให้ดีขึ้น” เคิร์ต เบาม์การ์ทเนอร์ กล่าว
สิ่งที่เราทำได้มากที่สุดคือคอยอัปเดตผู้ใช้ของเราอยู่เสมอ และแนะนำให้พวกเขาใช้ความระมัดระวังและระมัดระวังขณะติดตั้งยูทิลิตี้ เนื่องจากอาจมีลิงก์หลอกลวง มัลแวร์ที่ทำลายล้างอย่าง StrongPity สามารถเปลี่ยนพีซีของคุณให้เป็นเครื่องที่เสียหายได้อย่างง่ายดาย
