Echipa de securitate a Kaspersky Lab s-a confruntat cu un malware nou descoperit numit StrongPity care se presupune că corupe fișierele legitime WinRAR și TrueCrypt.

WinRAR este unul dintre cele mai bune servicii pentru arhivarea fișierelor pe Windows, precum și tratarea compresiei și extragerii, în timp ce TrueCrypt este un instrument de criptare continuu. StrongPity țintește computerele, deghizându-se ca instalator pentru software-ul menționat și obținând controlul complet. De asemenea, poate încerca să fure fișiere, să le corupe sau chiar să descarce noi module pe aparat.

Programul malware a fost observat în locații din întreaga lume, inclusiv în Turcia, Africa de Nord și Orientul Mijlociu și, potrivit Kaspersky Lab, principalele locații pe care se află acest cod infectat sunt în Italia și Belgia. Strategia pe care atacatorii o folosesc pentru a păcăli utilizatorii este înlocuirea a două litere transpuse în numele lor de domeniu și păstrarea URL-ului lor cât mai aproape posibil de site-ul de instalare autentic. Legătura de fișier a instalatorului este redirecționată către site-ul legitim al distribuitorului WinRAR și acesta este doar partea WinRAR.

În imaginea de mai jos, veți putea să observați un buton albastru pe care l-am evidențiat, care îi redirecționează pe utilizatori să „ralrabcom” luând victime pe site-uri de software corupte, iar în unele cazuri (unul dintre acestea a fost înregistrat în Italia) unde utilizatorii nu au fost direcționat către site-uri web trupești, dar către malware-ul StrongPity în sine.

"Datele Kaspersky Lab dezvăluie că în decursul unei singure săptămâni, malware-ul livrat de pe site-ul distribuitorului din Italia a apărut pe sute de sisteme din Europa și Africa de Nord / Orientul Mijlociu, cu multe mai multe infecții probabil", a spus firma. „Pe întreaga vară, Italia (87 la sută), Belgia (5 la sută) și Algeria (4 la sută) au fost cele mai afectate. Geografia victimelor de pe site-ul infectat din Belgia a fost similară, utilizatorii din Belgia reprezentând jumătate (54 la sută) din peste 60 de lovituri reușite. ”

În afară de asta, se pare că programele malware indicau utilizatorii către pagini web înșelătoare și corupte în loc de programul de instalare software TrueCrypt. Deși multe dintre linkurile WinRAR încărcate au fost eliminate, rămân încă unii instalatori TrueCrypt, după cum sugerează raportul Kapersky Labs din septembrie. Evoluțiile pentru TrueCrypt au fost întrerupte din mai 2014, după ce Microsoft a abandonat Windows XP.

Kurt Baumgartner, principalul cercetător de securitate al Kaspersky Lab, compară StrongPity cu atacurile Yeti / Energetic Bear care au preluat și au infectat site-urile web de distribuție software autentice. El se referă la această tendință drept „nedorită și periculoasă” și spune că trebuie abordată imediat.

„Aceste tactici sunt o tendință nedorită și periculoasă pe care industria de securitate trebuie să o abordeze. Căutarea confidențialității și integrității datelor nu ar trebui să expună o persoană la daunele ofensive ale găurilor de apă. Atacurile de la gaura de apă sunt, în mod inerent, imprecise și sperăm să stimuleze discuțiile în legătură cu necesitatea verificării mai ușoare și îmbunătățite a livrării instrumentelor de criptare. ”A spus Kurt Baumgartner.

Cel mai mare lucru pe care îl putem face este să ne menținem utilizatorii actualizați și să îi sfătuim să fie inteligenți și precauți în timp ce instalează utilități, deoarece ar putea conține legături înșelătoare. Programele malware distructive precum StrongPity pot transforma computerul într-o mașină deteriorată.