Bezpečnostní tým společnosti Kaspersky Lab narazil na nově objevený malware s názvem StrongPity, který údajně poškozuje legitimní soubory WinRAR a TrueCrypt.
WinRAR je jedním z nejlepší služby pro archivaci souborů ve Windows i řešení komprese a extrakce vzhledem k tomu, že TrueCrypt je přerušený online šifrovací nástroj. StrongPity se zaměřuje na počítače tím, že se maskuje jako instalátor uvedeného softwaru a získává plnou kontrolu. Může se také pokusit ukrást soubory, poškodit je nebo dokonce stáhnout nové moduly do zařízení.
Malware byl pozorován na místech po celém světě, včetně Turecka, severní Afriky a Středního východu a podle společnosti Kaspersky Lab jsou hlavní infikované části kódu umístěny v Itálii a Belgie. Strategie, kterou útočníci používají k oklamání uživatelů, je nahrazení dvou transponovaných písmen v jejich doménových jménech a udržení jejich adresy URL co nejblíže autentickému instalačnímu webu. Odkaz na soubor instalačního programu je poté přesměrován na legitimní web distributora WinRAR a jedná se pouze o přední část WinRAR.
Na obrázku níže uvidíte modré tlačítko, které jsme zvýraznili a které přesměruje uživatele na „ralrab [.] Com“, který oběti poškodí softwarové weby a v některých případech (z nichž jeden byl zaznamenán v Itálii), kde uživatelé nebyli přesměrováni na fingované weby, ale na malware StrongPity sám.
„Data společnosti Kaspersky Lab ukazují, že během jediného týdne byl malware doručen z webu distributora v Itálii objevily se na stovkách systémů v celé Evropě a severní Africe / na Středním východě, s pravděpodobností mnohem více infekcí, “ řekla firma. „Celé léto byla nejvíce postižena Itálie (87 procent), Belgie (5 procent) a Alžírsko (4 procenta). Geografie obětí z infikovaného webu v Belgii byla podobná, přičemž uživatelé v Belgii představovali polovinu (54 procent) z více než 60 úspěšných zásahů. “
Kromě toho malware také údajně nasměroval uživatele na podvodné a poškozené webové stránky namísto instalačního programu softwaru TrueCrypt. Ačkoli mnoho zkažených odkazů WinRAR bylo odstraněno, stále zde zůstávají někteří instalátoři TrueCrypt, jak navrhuje zářijová zpráva společnosti Kapersky Labs. Vývoj pro TrueCrypt byl ukončen od května 2014 poté, co Microsoft opustil Windows XP.
Kurt Baumgartner, hlavní výzkumník bezpečnosti v Kaspersky Lab, srovnává StrongPity s Crouching Yeti / Energetic Bear útoky který převzal a infikoval autentické webové stránky s distribucí softwaru. Tento trend označuje za „nevítaný a nebezpečný“ a říká, že je třeba jej okamžitě řešit.
"Tyto taktiky jsou nevítaným a nebezpečným trendem, kterému se bezpečnostní průmysl musí věnovat." Hledání soukromí a integrity dat by nemělo jednotlivce vystavovat útočnému poškození napajedla. Útoky na napajedla jsou ze své podstaty nepřesné a doufáme, že podnítíme diskusi o potřebě snadnějšího a lepšího ověření dodávky šifrovacího nástroje. “ řekl Kurt Baumgartner.
Nejvíc můžeme udělat, abychom udržovali naše uživatele aktualizované a radili jim, aby byli při instalaci nástrojů chytří a opatrní, protože mohou obsahovat podvodné odkazy. Destruktivní malware, jako je StrongPity, může snadno změnit váš počítač na poškozený počítač.
