Η ομάδα ασφαλείας της Kaspersky Lab βρήκε ένα νέο λογισμικό που ανακαλύφθηκε, το StrongPity, το οποίο φέρεται να καταστρέφει νόμιμα αρχεία WinRAR και TrueCrypt.
Το WinRAR είναι ένα από τα βέλτιστες υπηρεσίες αρχειοθέτησης αρχείων στα Windows, καθώς και αντιμετώπιση συμπίεσης και εξαγωγής ενώ το TrueCrypt είναι ένα εργαλείο κρυπτογράφησης on-the-fly που έχει διακοπεί. Το StrongPity στοχεύει τους υπολογιστές μεταμφιεσμένος ως εγκαταστάτης για το εν λόγω λογισμικό και αποκτώντας πλήρη έλεγχο. Μπορεί επίσης να προσπαθήσει να κλέψει αρχεία, να τα καταστρέψει ή ακόμα και να κατεβάσει νέες μονάδες στο μηχάνημα.
Το κακόβουλο λογισμικό έχει παρατηρηθεί σε τοποθεσίες σε όλο τον κόσμο, συμπεριλαμβανομένης της Τουρκίας, της Βόρειας Αφρικής και της Μέσης Ανατολής και, σύμφωνα με το Kaspersky Lab, οι κύριες τοποθεσίες που βρίσκεται το μολυσμένο αυτό κομμάτι κώδικα είναι στην Ιταλία και το Βέλγιο. Η στρατηγική που χρησιμοποιούν οι εισβολείς για να ξεγελάσουν τους χρήστες αντικαθιστά δύο μεταφερόμενα γράμματα στα ονόματά τους και διατηρεί τη διεύθυνση URL όσο το δυνατόν πιο κοντά στον αυθεντικό ιστότοπο εγκαταστάτη. Στη συνέχεια, ο σύνδεσμος αρχείων του προγράμματος εγκατάστασης ανακατευθύνεται στον νόμιμο ιστότοπο διανομέων WinRAR και αυτό είναι ακριβώς το μέτωπο WinRAR.
Στην παρακάτω εικόνα, θα μπορείτε να εντοπίσετε ένα μπλε κουμπί που έχουμε επισημάνει, το οποίο επαναπροσανατολίζει τους χρήστες στο "ralrab [.] Com", μεταφέροντας τα θύματα σε κατεστραμμένα ιστότοποι λογισμικού, και σε ορισμένες περιπτώσεις (μία από τις οποίες καταγράφηκε στην Ιταλία) όπου οι χρήστες δεν κατευθύνονταν σε πλαστογραφίες αλλά σε κακόβουλο λογισμικό StrongPity εαυτό.
«Τα δεδομένα της Kaspersky Lab αποκαλύπτουν ότι σε μια εβδομάδα, κακόβουλο λογισμικό παραδόθηκε από τον ιστότοπο διανομέων στην Ιταλία εμφανίστηκε σε εκατοντάδες συστήματα σε ολόκληρη την Ευρώπη και τη Βόρεια Αφρική / Μέση Ανατολή, με πολλές περισσότερες πιθανότητες λοιμώξεων, " είπε η εταιρεία. «Όλο το καλοκαίρι, η Ιταλία (87%), το Βέλγιο (5%) και η Αλγερία (4%) επηρεάστηκαν περισσότερο. Η γεωγραφία των θυμάτων από τον μολυσμένο ιστότοπο στο Βέλγιο ήταν παρόμοια, με τους χρήστες στο Βέλγιο να αντιπροσωπεύουν το ήμισυ (54 τοις εκατό) από περισσότερες από 60 επιτυχημένες επιτυχίες. "
Εκτός από αυτό, το κακόβουλο λογισμικό έδειχνε επίσης να κατευθύνει τους χρήστες σε παραπλανητικές, διεφθαρμένες ιστοσελίδες αντί για το πρόγραμμα εγκατάστασης λογισμικού TrueCrypt. Αν και πολλοί από τους μολυσμένους συνδέσμους WinRAR έχουν αφαιρεθεί, εξακολουθούν να υπάρχουν ορισμένοι εγκαταστάτες TrueCrypt, όπως προτείνεται από την έκθεση του Kapersky Labs τον Σεπτέμβριο. Οι εξελίξεις για το TrueCrypt διακόπηκαν από τον Μάιο του 2014, αφού η Microsoft εγκατέλειψε τα Windows XP.
Ο Kurt Baumgartner, ο κύριος ερευνητής ασφαλείας στο Kaspersky Lab, συγκρίνει το StrongPity με το Crouching Yeti / Energetic Bear επιθέσεις που ανέλαβαν και μολύνουν αυθεντικούς ιστότοπους διανομής λογισμικού. Αναφέρεται σε αυτήν την τάση ως «ανεπιθύμητη και επικίνδυνη» και λέει ότι πρέπει να αντιμετωπιστεί αμέσως.
«Αυτές οι τακτικές είναι μια ανεπιθύμητη και επικίνδυνη τάση που πρέπει να αντιμετωπίσει ο κλάδος ασφαλείας. Η αναζήτηση της ιδιωτικής ζωής και της ακεραιότητας των δεδομένων δεν πρέπει να εκθέτει ένα άτομο σε επιθετικές ζημιές στο νερό. Οι επιθέσεις Waterhole είναι εγγενώς ανακριβείς και ελπίζουμε να προωθήσουμε τη συζήτηση σχετικά με την ανάγκη για ευκολότερη και βελτιωμένη επαλήθευση της παράδοσης εργαλείων κρυπτογράφησης. " είπε ο Kurt Baumgartner.
Το μόνο που μπορούμε να κάνουμε είναι να ενημερώνουμε τους χρήστες μας και να τους συμβουλεύουμε να είναι έξυπνοι και προσεκτικοί κατά την εγκατάσταση βοηθητικών προγραμμάτων, καθώς ενδέχεται να περιέχουν παραπλανητικούς συνδέσμους. Καταστροφικό κακόβουλο λογισμικό όπως το StrongPity μπορεί εύκολα να μετατρέψει τον υπολογιστή σας σε κατεστραμμένο μηχάνημα.
