Bezpečnostní tým společnosti Kaspersky Lab narazil na nově objevený malware zvaný StrongPity, který údajně poškozuje legitimní soubory WinRAR a TrueCrypt.

WinRAR je jednou z nejlepších služeb pro archivaci souborů na Windows a pro práci s kompresí a extrakcí, zatímco TrueCrypt je ukončený šifrovací nástroj on-the-fly. StrongPity zacílí na počítače tím, že se přestrojí za instalační program pro uvedený software a získá plnou kontrolu. Může se také pokusit ukrást soubory, poškodit je nebo dokonce stáhnout nové moduly do počítače.

Malware byl pozorován v lokalitách po celém světě včetně Turecka, severní Afriky a na Středním východě a podle společnosti Kaspersky Lab jsou hlavní místa, kde se nachází tento infikovaný kus kódu, v Itálii a Belgii. Útočníci strategie, kteří používají k oklamání uživatelů, nahrazují dvě transponovaná písmena ve svých doménových jménech a udržují jejich URL co nejblíže autentickému instalačnímu serveru. Odkaz na soubor instalačního programu je poté přesměrován na legitimní web distributora WinRAR a to je pouze přední strana WinRAR.

Na obrázku níže si budete moci všimnout modrého tlačítka, které jsme zvýraznili a které uživatele přesměrovává na „ralrabcom“, který přijímá oběti na poškozené softwarové stránky, av některých případech (jedno z nich bylo zaznamenáno v Itálii), kde uživatelé nebyli zaměřeno na podvodné weby, ale na samotný malware StrongPity.

„Údaje společnosti Kaspersky Lab odhalují, že v průběhu jediného týdne se malware dodávaný ze stránky distributora v Itálii objevil na stovkách systémů v celé Evropě a severní Africe / na Středním východě, s pravděpodobností mnohem více infekcí, “ uvedla firma. „Po celé léto byly postiženy nejvíce Itálie (87 procent), Belgie (5 procent) a Alžírsko (4 procenta). Geografie oběti z infikovaného místa v Belgii byla podobná, přičemž uživatelé v Belgii představovali polovinu (54 procent) z více než 60 úspěšných zásahů. “

Kromě toho malware také údajně nasměroval uživatele na podvodné a poškozené webové stránky namísto instalačního softwaru TrueCrypt. Přestože bylo mnoho poškozených odkazů WinRAR odstraněno, stále existuje několik instalátorů TrueCrypt, jak navrhuje zářijová zpráva společnosti Kapersky Labs. Vývoj programu TrueCrypt byl přerušen od května 2014 poté, co Microsoft opustil systém Windows XP.

Kurt Baumgartner, hlavní výzkumný pracovník v oblasti bezpečnosti společnosti Kaspersky Lab, porovnává StrongPity s Crouching Yeti / Energetic Bear útoky, které převzaly a infikovaly autentické webové stránky distribuce softwaru. Tento trend označuje jako „nevítaný a nebezpečný“ a říká, že je třeba se mu okamžitě zabývat.

„Tyto taktiky jsou nevítaným a nebezpečným trendem, který musí bezpečnostní průmysl řešit. Hledání soukromí a integrity dat by nemělo jednotlivce vystavovat urážlivému poškození vodní díry. Útoky na vodní díry jsou ze své podstaty nepřesné a doufáme, že podnítíme diskusi o potřebě snadnějšího a vylepšeného ověřování doručování šifrovacího nástroje. “Řekl Kurt Baumgartner.

Nejvíc, co můžeme udělat, je udržovat naše uživatele v aktualizovaném stavu a radit jim, aby byli inteligentní a opatrní při instalaci nástrojů, protože mohou obsahovat klamavé odkazy. Destruktivní malware, jako je StrongPity, může snadno změnit váš počítač na poškozený počítač.