A Kaspersky Lab biztonsági csapata megbotlott egy újonnan felfedezett, StrongPity nevű rosszindulatú program felett, amely állítólag megsérti a törvényes WinRAR és TrueCrypt fájlokat.

A WinRAR az egyik legjobb szolgáltatás a fájlok archiválására Windows rendszeren, valamint a tömörítés és a kibontás kezelésére, míg a TrueCrypt egy megszakított on-the-fly titkosító eszköz. A StrongPity megcélozza a számítógépeket azáltal, hogy álruhává válik az említett szoftver telepítőjévé és teljes ellenőrzést szerez. Megpróbálhat fájlokat ellopni, megrongálhatja azokat, vagy akár új modulokat tölthet le a gépen.

A rosszindulatú programokat a világ minden táján megfigyelték, beleértve Törökországot, Észak-Afrikát és a Közel-Keletet, és a Kaspersky Lab szerint a fertőzött kód fő országa Olaszországban és Belgiumban található. A stratégiai támadók a felhasználók becsapása érdekében két átültetett betűt cserélnek ki domainnevükben, és URL-jüket a lehető legközelebb tartják a hiteles telepítőhelyhez. A telepítő fájl hivatkozása ezután átirányításra kerül a törvényes WinRAR disztribúciós oldalra, és ez csak a WinRAR eleje.

Az alábbi képen láthatja a kiemelt kék gombot, amely átirányítja a felhasználókat arra, hogy a „ralrabcom” -ra irányítsák az áldozatokat a sérült szoftverhelyekre, és egyes esetekben (amelyek egyikét Olaszországban rögzítették), ahol a felhasználók nem voltak szélhámos webhelyekre, de maga a StrongPity rosszindulatú programokra irányították.

"A Kaspersky Lab adatai azt mutatják, hogy egy héten belül az olaszországi forgalmazó helyről szállított rosszindulatú programok több száz rendszerben jelentek meg Európában és Észak-Afrikában / Közel-Keleten, és valószínűleg még sok más fertőzés létezik" - mondta a cég. „A teljes nyár folyamán Olaszország (87%), Belgium (5%) és Algéria (4%) volt a leginkább érintett. A belga fertőzött hely áldozatainak földrajza hasonló volt: a belga felhasználók a 60 sikeres találat felének (54 százalékát) tették ki. ”

Emellett állítólag a rosszindulatú program a TrueCrypt szoftver telepítője helyett hamis, sérült weblapokra is irányította a felhasználókat. Noha a szennyezett WinRAR linkek közül sok eltávolításra került, még mindig vannak TrueCrypt telepítők, ahogyan azt a Kapersky Labs szeptemberi jelentése javasolja. A TrueCrypt fejlesztését 2014. májusától kezdték megszakítani, miután a Microsoft elhagyta a Windows XP-t.

Kurt Baumgartner, a Kaspersky Lab fő biztonsági kutatója összehasonlítja a StrongPity-t a Crouching Yeti / Energetic Bear támadásokkal, amelyek átvették és megfertőzték a hiteles szoftverterjesztő webhelyeket. Ezt a tendenciát „nemkívánatosnak és veszélyesnek” nevezi, és azt állítja, hogy azonnal meg kell oldani.

Ez a taktika nemkívánatos és veszélyes tendencia, amelyet a biztonsági iparnak kezelnie kell. A magánélet és az adatok integritásának kutatása nem teheti ki az egyént sértő víznyílás-károsodásnak. A víznyelő támadások természetüknél fogva pontatlanok, és reméljük, hogy vitát ösztönözünk a titkosítóeszközök kézbesítésének könnyebb és jobb ellenőrzése iránt. ”- mondta Kurt Baumgartner.

A legtöbbet megtehetjük, hogy naprakészen tartjuk felhasználóinkat, és azt tanácsoljuk, hogy okosak és óvatosak legyenek a segédprogramok telepítésekor, mivel ezek megtévesztő hivatkozásokat tartalmazhatnak. Az olyan pusztító rosszindulatú programok, mint a StrongPity, könnyen károsíthatják a számítógépet sérült gépké.