Kaspersky Labs sikkerhedsteam snuble over en nyopdaget malware kaldet StrongPity, der angiveligt ødelægger legitime WinRAR- og TrueCrypt-filer.
WinRAR er en af de bedste tjenester til arkivering af filer på Windows samt håndtering af komprimering og ekstraktion, mens TrueCrypt er et ophørt on-the-fly krypteringsværktøj. StrongPity retter sig mod computere ved at forklæde sig som installatør for softwaren og få fuld kontrol. Det kan også forsøge at stjæle filer, ødelægge dem eller endda downloade nye moduler på maskinen.
Malwaren er blevet observeret steder over hele verden, herunder Tyrkiet, Nordafrika og Mellemøsten, og ifølge Kaspersky Lab er de vigtigste placeringer, hvor dette inficerede stykke kode er, i Italien og Belgien. Strategien, som angribere bruger for at narre brugerne, er at erstatte to transponerede bogstaver i deres domænenavne og holde deres URL så tæt som muligt på det autentiske installationssted. Fillinket fra installationsprogrammet omdirigeres derefter til det legitime WinRAR-forhandlerside, og dette er bare WinRAR-fronten.
På billedet nedenfor kan du få øje på en blå knap, som vi har fremhævet, som omdirigerer brugere til at 'ralrab [.] Com' fører ofre til beskadigede softwaresider og i nogle tilfælde (hvoraf den ene blev optaget i Italien) hvor brugerne ikke blev henvist til at skyde websteder, men til selve StrongPity-malware.
”Kaspersky Lab-data afslører, at i løbet af en enkelt uge optrådte malware leveret fra distributørwebstedet i Italien på hundredvis af systemer i hele Europa og Nordafrika / Mellemøsten, med sandsynligvis mange flere infektioner,” sagde firmaet. ”I løbet af hele sommeren var Italien (87 procent), Belgien (5 procent) og Algeriet (4 procent) mest berørt. Offerets geografi fra det inficerede sted i Belgien var ens, idet brugere i Belgien tegnede sig for halvdelen (54 procent) af mere end 60 succesrige hits. ”
Bortset fra det førte malware efter sigende også brugerne til svigagtige, korrupte websider i stedet for TrueCrypt-softwareinstallatøren. Selvom mange af de beskadigede WinRAR-links er fjernet, er der stadig nogle TrueCrypt-installatører som foreslået af Kapersky Labs 'september-rapport. Udviklingen til TrueCrypt blev afbrudt fra maj 2014, efter at Microsoft opgav Windows XP.
Kurt Baumgartner, den vigtigste sikkerhedsforsker ved Kaspersky Lab, sammenligner StrongPity med Crouching Yeti / Energetic Bear-angreb, der overtog og inficerede autentiske softwaredistributionswebsteder. Han henviser til denne tendens som ”uvelkommen og farlig” og siger, at den skal behandles med det samme.
”Disse taktikker er en uvelkommen og farlig tendens, som sikkerhedsindustrien skal tage fat på. Søgningen efter privatlivets fred og dataintegritet bør ikke udsætte en person for stødende skader på vandhullet. Vandhulangreb er i sagens natur upræcise, og vi håber at anspore diskussioner om behovet for lettere og forbedret verifikation af levering af krypteringsværktøj. ” sagde Kurt Baumgartner.
Det mest vi kan gøre er at holde vores brugere opdateret og råde dem til at være kloge og forsigtige, når de installerer hjælpeprogrammer, da de kan indeholde vildledende links. Destruktiv malware som StrongPity kan nemt gøre din pc til en beskadiget maskine.
- StrongPity
- truecrypt
- winrar