Bezpečnostný tím spoločnosti Kaspersky Lab narazil na novoobjavený malware nazývaný StrongPity, ktorý údajne poškodzuje legitímne súbory WinRAR a TrueCrypt.

WinRAR je jednou z najlepších služieb na archiváciu súborov na Windows, ako aj na prácu s kompresiou a extrakciou, zatiaľ čo TrueCrypt je ukončený nepretržitý šifrovací nástroj. StrongPity sa zameriava na počítače tým, že sa maskuje ako inštalačný program pre uvedený softvér a získava úplnú kontrolu. Môže sa tiež pokúsiť ukradnúť súbory, poškodiť ich alebo dokonca stiahnuť nové moduly do zariadenia.

Malvér bol pozorovaný na miestach po celom svete vrátane Turecka, severnej Afriky a Blízkeho východu a podľa spoločnosti Kaspersky Lab sú hlavné umiestnenia tohto infikovaného kódu v Taliansku a Belgicku. Útočníci stratégie, ktorých používajú na oklamanie používateľov, nahrádzajú dve transponované písmená vo svojich názvoch domén a udržiavajú svoju webovú adresu čo najbližšie k autentickému inštalačnému serveru. Odkaz na súbor inštalačného programu je potom presmerovaný na legitímnu stránku distribútora WinRAR, a to je iba front WinRAR.

Na obrázku nižšie si budete môcť všimnúť modré tlačidlo, ktoré sme zvýraznili a ktoré presmeruje používateľov na „ralrabcom“, ktorý prijíma obete na poškodené softvérové ​​stránky, av niektorých prípadoch (jedno z nich bolo zaznamenané v Taliansku), kde používatelia neboli zamerané na podvodné webové stránky, ale na samotný malware StrongPity.

„Údaje spoločnosti Kaspersky Lab odhaľujú, že v priebehu jedného týždňa sa malware dodávaný zo stránky distribútora v Taliansku objavil na stovkách systémov v celej Európe a severnej Afrike / na Strednom východe, s pravdepodobnosťou mnohých ďalších infekcií, “ uviedla firma. „Počas celého leta boli postihnuté najviac Taliansko (87 percent), Belgicko (5 percent) a Alžírsko (4 percentá). Geografia obete z infikovaného miesta v Belgicku bola podobná, pričom používatelia v Belgicku predstavovali polovicu (54 percent) z viac ako 60 úspešných zásahov. “

Okrem toho malvér tiež údajne nasmeroval používateľov na podvodné, poškodené webové stránky namiesto inštalátora softvéru TrueCrypt. Aj keď bolo mnoho poškodených odkazov WinRAR odstránených, stále existuje niekoľko inštalátorov TrueCrypt, ako to navrhuje správa Kapersky Labs zo septembra. Vývoj programu TrueCrypt bol prerušený od mája 2014 po tom, čo Microsoft opustil systém Windows XP.

Kurt Baumgartner, hlavný výskumný pracovník v oblasti bezpečnosti spoločnosti Kaspersky Lab, porovnáva aplikáciu StrongPity s útokmi typu Crouching Yeti / Energetic Bear, ktoré prevzali a infikovali autentické webové stránky distribúcie softvéru. Tento trend označuje ako „nevítaný a nebezpečný“ a tvrdí, že sa musí okamžite riešiť.

„Tieto taktiky sú nevítaným a nebezpečným trendom, ktorý musí bezpečnostný priemysel riešiť. Pri hľadaní súkromia a integrity údajov by sa jednotlivec nemal vystavovať útočnému poškodeniu vodnej hladiny. Útoky na vodné dierky sú vo svojej podstate nepresné a dúfame, že podnietíme diskusiu o potrebe ľahšieho a vylepšeného overovania dodania šifrovacieho nástroja. “Povedal Kurt Baumgartner.

Čo môžeme urobiť, je, aby naši používatelia boli neustále aktualizovaní a odporúčali im, aby boli pri inštalácii pomôcok inteligentní a opatrní, pretože môžu obsahovať klamlivé odkazy. Ničivý malware, ako je StrongPity, môže ľahko zmeniť váš počítač na poškodený počítač.