Friendoffriends
Zespół bezpieczeństwa Kaspersky Lab natknął się na nowo odkryte złośliwe oprogramowanie o nazwie StrongPity, które rzekomo uszkadza legalne pliki WinRAR i TrueCrypt.
WinRAR to jedna z najlepszych usług do archiwizacji plików w systemie Windows, a także do kompresji i ekstrakcji, podczas gdy TrueCrypt jest wycofanym narzędziem do szyfrowania w locie. StrongPity atakuje komputery, udając instalatora wspomnianego oprogramowania i uzyskując pełną kontrolę. Może również próbować ukraść pliki, uszkodzić je, a nawet pobrać nowe moduły na maszynę.
Szkodliwe oprogramowanie zostało zaobserwowane w różnych lokalizacjach na całym świecie, w tym w Turcji, Afryce Północnej i na Bliskim Wschodzie, a według Kaspersky Lab główne lokalizacje, w których znajduje się ten zainfekowany fragment kodu, znajdują się we Włoszech i Belgii. Strategia wykorzystywana przez atakujących do oszukiwania użytkowników polega na zamianie dwóch transponowanych liter w nazwach ich domen i utrzymywaniu ich adresu URL jak najbliżej autentycznej witryny instalatora. Łącze do pliku instalatora jest następnie przekierowywane do legalnej witryny dystrybutora WinRAR, a to jest tylko front WinRAR.
Na poniższym obrazku możesz zobaczyć niebieski przycisk, który podświetliliśmy, który przekierowuje użytkowników do „ralrab [.] Com”, przenosząc ofiary na strony z uszkodzonym oprogramowaniem, aw niektórych przypadkach (jeden z nich został zarejestrowany we Włoszech) gdzie użytkownicy nie byli kierowani na fałszywe strony internetowe, ale do samego szkodliwego oprogramowania StrongPity.
„Dane firmy Kaspersky Lab pokazują, że w ciągu jednego tygodnia szkodliwe oprogramowanie dostarczone z witryny dystrybutora we Włoszech pojawiło się w setkach systemów w Europie i Afryce Północnej / na Bliskim Wschodzie, przy czym prawdopodobieństwo infekcji było znacznie większe” - powiedziała firma. „Przez całe lato najbardziej ucierpiały Włochy (87 procent), Belgia (5 procent) i Algieria (4 procent). Geografia ofiar z zainfekowanej strony w Belgii była podobna, a użytkownicy w Belgii stanowili połowę (54 procent) z ponad 60 udanych trafień ”.
Oprócz tego, złośliwe oprogramowanie podobno kierowało użytkowników do oszukańczych, uszkodzonych stron internetowych zamiast do instalatora oprogramowania TrueCrypt. Chociaż wiele skażonych linków do WinRAR zostało usuniętych, nadal istnieją pewne instalatory TrueCrypt, jak sugeruje wrześniowy raport Kapersky Labs. Prace nad TrueCrypt zostały przerwane od maja 2014 r. Po tym, jak Microsoft porzucił Windows XP.
Kurt Baumgartner, główny badacz bezpieczeństwa w Kaspersky Lab, porównuje StrongPity z atakami Crouching Yeti / Energetic Bear, które przejęły i zainfekowały autentyczne witryny dystrybucji oprogramowania. Określa ten trend jako „niepożądany i niebezpieczny” i mówi, że należy się nim natychmiast zająć.
„Te taktyki to niepożądany i niebezpieczny trend, z którym branża bezpieczeństwa musi się zmierzyć. Poszukiwanie prywatności i integralności danych nie powinno narażać osoby na obraźliwe uszkodzenia wodopoju. Ataki wodopojowe są z natury nieprecyzyjne i mamy nadzieję pobudzić dyskusję na temat potrzeby łatwiejszej i ulepszonej weryfikacji dostawy narzędzia szyfrującego ”. powiedział Kurt Baumgartner.
Jedyne, co możemy zrobić, to na bieżąco informować naszych użytkowników i radzić im, aby byli sprytni i ostrożni podczas instalowania narzędzi, ponieważ mogą zawierać zwodnicze linki. Destrukcyjne złośliwe oprogramowanie, takie jak StrongPity, może łatwo zmienić Twój komputer w uszkodzoną maszynę.
- StrongPity
- truecrypt
- winrar
