Friendoffriends
Bezpečnostní tým společnosti Kaspersky Lab narazil na nově objevený malware s názvem StrongPity, který údajně poškozuje legitimní soubory WinRAR a TrueCrypt.
WinRAR je jednou z nejlepších služeb pro archivaci souborů ve Windows a pro řešení komprese a extrakce, zatímco TrueCrypt je přerušený šifrovací nástroj. StrongPity se zaměřuje na počítače tím, že se maskuje jako instalátor uvedeného softwaru a získává plnou kontrolu. Může se také pokusit ukrást soubory, poškodit je nebo dokonce stáhnout nové moduly do zařízení.
Malware byl pozorován na místech po celém světě, včetně Turecka, severní Afriky a na Středním východě, a podle společnosti Kaspersky Lab jsou tato infikovaná část kódu hlavní v Itálii a Belgii. Strategie, kterou útočníci používají k oklamání uživatelů, je nahrazení dvou transponovaných písmen v jejich doménových jménech a udržení jejich adresy URL co nejblíže autentickému instalačnímu webu. Odkaz na soubor instalačního programu je poté přesměrován na legitimní web distributora WinRAR a toto je pouze přední část WinRAR.
Na níže uvedeném obrázku uvidíte modré tlačítko, které jsme zvýraznili a které přesměruje uživatele na „ralrab [.] Com“, který převádí oběti na poškozené softwarové weby, a v některých případech (jedno z nich bylo zaznamenáno v Itálii) kde uživatelé nebyli přesměrováni na fingované weby, ale na samotný malware StrongPity.
„Data společnosti Kaspersky Lab ukazují, že v průběhu jediného týdne se malware doručený z distribučního webu v Itálii objevil na stovkách systémů v celé Evropě a severní Africe / na Středním východě, přičemž je pravděpodobné, že dojde k mnohem většímu počtu infekcí,“ uvedla firma. „Celé léto byla nejvíce postižena Itálie (87 procent), Belgie (5 procent) a Alžírsko (4 procenta). Geografie obětí z infikovaného webu v Belgii byla podobná, přičemž uživatelé v Belgii představovali polovinu (54 procent) z více než 60 úspěšných zásahů. “
Kromě toho malware také údajně nasměroval uživatele na podvodné a poškozené webové stránky namísto instalačního programu softwaru TrueCrypt. Ačkoli mnoho zkažených odkazů WinRAR bylo odstraněno, stále zde zůstávají někteří instalátoři TrueCrypt, jak navrhuje zářijová zpráva společnosti Kapersky Labs. Vývoj pro TrueCrypt byl ukončen od května 2014 poté, co Microsoft opustil Windows XP.
Kurt Baumgartner, hlavní výzkumník zabezpečení společnosti Kaspersky Lab, porovnává StrongPity s útoky Crouching Yeti / Energetic Bear, které převzaly a infikovaly autentické webové stránky s distribucí softwaru. Tento trend označuje za „nevítaný a nebezpečný“ a říká, že je třeba jej okamžitě řešit.
"Tyto taktiky jsou nevítaným a nebezpečným trendem, kterému se bezpečnostní průmysl musí věnovat." Hledání soukromí a integrity dat by nemělo jednotlivce vystavovat útočnému poškození napajedla. Útoky na napajedla jsou ze své podstaty nepřesné a doufáme, že podnítíme diskusi o potřebě jednoduššího a lepšího ověření dodávky šifrovacího nástroje. “ řekl Kurt Baumgartner.
Nejvíc můžeme udělat, abychom udržovali naše uživatele aktualizované a radili jim, aby byli při instalaci nástrojů chytří a opatrní, protože mohou obsahovat klamné odkazy. Destruktivní malware, jako je StrongPity, může snadno změnit váš počítač na poškozený počítač.
- StrongPity
- truecrypt
- winrar
