Kaspersky Labs sikkerhetsteam snublet over en nyoppdaget skadelig programvare kalt StrongPity som angivelig ødelegger legitime WinRAR- og TrueCrypt-filer.

WinRAR er en av de beste tjenestene for arkivering av filer i Windows, samt håndtering av komprimering og ekstraksjon, mens TrueCrypt er et avviklet krypteringsverktøy som brukes. StrongPity retter seg mot datamaskiner ved å kamuflere seg som et installasjonsprogram for nevnte programvare og få full kontroll. Det kan også prøve å stjele filer, ødelegge dem eller til og med laste ned nye moduler på maskinen.

Den skadelige programvaren er observert på steder rundt om i verden, inkludert Tyrkia, Nord-Afrika og Midt-Østen, og ifølge Kaspersky Lab er de viktigste stedene dette infiserte kodestykket er i Italia og Belgia. Strategien angriperne bruker for å lure brukere, erstatter to transponerte bokstaver i domenenavnene deres og holder URL-en deres så nær det autentiske installasjonsstedet som mulig. Fillenken til installasjonsprogrammet blir deretter omdirigert til det lovlige WinRAR-distributørnettstedet, og dette er bare WinRAR-fronten.

På bildet nedenfor vil du kunne se en blå knapp som vi har fremhevet som omdirigerer brukere til å 'ralrabcom' med å ta ofre til ødelagte programvaresider, og i noen tilfeller (hvorav den ene ble spilt inn i Italia) der brukerne ikke var rettet til svindelnettsteder, men til selve StrongPity-malware.

"Kaspersky Lab-data viser at i løpet av en uke har malware som ble levert fra distributørnettstedet i Italia dukket opp på hundrevis av systemer i hele Europa og Nord-Afrika / Midt-Østen, med mange flere infeksjoner sannsynligvis, " sa firmaet. “I løpet av hele sommeren var Italia (87 prosent), Belgia (5 prosent) og Algerie (4 prosent) mest berørt. Offergeografien fra det infiserte nettstedet i Belgia var lik, og brukere i Belgia sto for halvparten (54 prosent) av mer enn 60 vellykkede treff. ”

Bortsett fra det, var skadelig programvare også angivelig henvisning til brukere til svikefulle, korrupte websider i stedet for TrueCrypt-programvareinstallasjonsprogrammet. Selv om mange av de beslaglagte WinRAR-koblingene er fjernet, gjenstår det fortsatt noen TrueCrypt-installatører som foreslått av Kapersky Labs septemberrapport. Utviklingen for TrueCrypt ble avviklet fra mai 2014 etter at Microsoft forlot Windows XP.

Kurt Baumgartner, den viktigste sikkerhetsforskeren ved Kaspersky Lab, sammenligner StrongPity med Crouching Yeti / Energetic Bear-angrep som overtok og infiserte autentiske nettsteder for programvaredistribusjon. Han omtaler denne trenden som "uvelkommen og farlig" og sier at den må tas opp umiddelbart.

“Disse taktikkene er en uvelkommen og farlig trend som sikkerhetsindustrien trenger å ta tak i. Søk etter personvern og dataintegritet skal ikke utsette en person for støtende vannhullsskader. Vannhullsangrep er iboende upresise, og vi håper å stimulere til diskusjon rundt behovet for enklere og forbedret verifisering av levering av krypteringsverktøy. ”Sa Kurt Baumgartner.

Det beste vi kan gjøre er å holde brukerne oppdaterte og gi dem råd til å være smarte og forsiktige mens de installerer verktøy, da de kan inneholde villedende koblinger. Destruktiv malware som StrongPity kan enkelt gjøre PCen din til en skadet maskin.