Zespół bezpieczeństwa firmy Kaspersky Lab natknął się na nowo odkryte złośliwe oprogramowanie o nazwie StrongPity, które rzekomo psuje prawidłowe pliki WinRAR i TrueCrypt.

WinRAR jest jedną z najlepszych usług do archiwizacji plików w systemie Windows, a także do kompresji i ekstrakcji, podczas gdy TrueCrypt jest wycofanym narzędziem do szyfrowania w locie. StrongPity atakuje komputery, ukrywając się jako instalator wspomnianego oprogramowania i uzyskując pełną kontrolę. Może także próbować ukraść pliki, uszkodzić je, a nawet pobrać nowe moduły na maszynę.

Szkodliwe oprogramowanie zaobserwowano w lokalizacjach na całym świecie, w tym w Turcji, Afryce Północnej i na Bliskim Wschodzie, a według Kaspersky Lab główne lokalizacje zainfekowanego fragmentu kodu znajdują się we Włoszech i Belgii. Strategie, których używają osoby atakujące w celu oszukania użytkowników, zastępują dwie transponowane litery w nazwach domen i utrzymują adres URL możliwie najbliżej autentycznej witryny instalatora. Link do pliku instalatora jest następnie przekierowywany do legalnej witryny dystrybutora WinRAR, a to tylko front WinRAR.

Na poniższym obrazku można zauważyć niebieski przycisk, który zaznaczyliśmy, który przekierowuje użytkowników do „ralrabcom” zabierającego ofiary na uszkodzone strony z oprogramowaniem, aw niektórych przypadkach (z których jeden został zarejestrowany we Włoszech), gdzie użytkownicy nie byli skierowane do fałszywych stron internetowych, ale do samego złośliwego oprogramowania StrongPity.

„Dane firmy Kaspersky Lab ujawniają, że w ciągu jednego tygodnia złośliwe oprogramowanie dostarczane z witryny dystrybutora we Włoszech pojawiło się w setkach systemów w Europie i Afryce Północnej / na Bliskim Wschodzie, z wieloma innymi infekcjami”, powiedziała firma. „Przez całe lato najbardziej ucierpiały Włochy (87 procent), Belgia (5 procent) i Algieria (4 procent). Geografia ofiary z zainfekowanej witryny w Belgii była podobna, a użytkownicy w Belgii odpowiadali za połowę (54 procent) z ponad 60 udanych trafień. ”

Poza tym złośliwe oprogramowanie podobno kierowało użytkowników do podstępnych, uszkodzonych stron internetowych zamiast instalatora oprogramowania TrueCrypt. Chociaż wiele skażonych linków WinRAR zostało usuniętych, nadal istnieją niektóre instalatory TrueCrypt, jak sugeruje raport z września Kapersky Labs. Prace nad TrueCrypt zostały przerwane od maja 2014 roku po tym, jak Microsoft porzucił Windows XP.

Kurt Baumgartner, główny badacz bezpieczeństwa w Kaspersky Lab, porównuje StrongPity z przyczajonymi atakami Yeti / Energetic Bear, które przejęły i zainfekowały autentyczne witryny dystrybucji oprogramowania. Nazywa ten trend „niepożądanym i niebezpiecznym” i mówi, że należy go natychmiast rozwiązać.

„Te taktyki to niepożądany i niebezpieczny trend, którym branża bezpieczeństwa musi się zająć. Poszukiwanie prywatności i integralności danych nie powinno narażać osoby na ofensywne uszkodzenie wodopoju. Ataki w wodopoju są z natury nieprecyzyjne i mamy nadzieję, że pobudzimy dyskusję na temat potrzeby łatwiejszej i ulepszonej weryfikacji dostarczania narzędzi do szyfrowania ”- powiedział Kurt Baumgartner.

Jedyne, co możemy zrobić, to aktualizować naszych użytkowników i doradzać im, aby byli mądrzy i ostrożni podczas instalowania narzędzi, ponieważ mogą one zawierać zwodnicze linki. Niszczycielskie złośliwe oprogramowanie, takie jak StrongPity, może z łatwością zmienić komputer w uszkodzony komputer.