Kaspersky Labs sikkerhedsteam snublede over en nyligt opdaget malware kaldet StrongPity, der angiveligt ødelægger legitime WinRAR- og TrueCrypt-filer.

WinRAR er en af ​​de bedste tjenester til arkivering af filer på Windows samt håndtering af komprimering og ekstraktion, hvorimod TrueCrypt er et ophørt on-the-fly krypteringsværktøj. StrongPity er rettet mod computere ved at forklæde sig som et installationsprogram for den nævnte software og få fuld kontrol. Det kan også prøve at stjæle filer, ødelægge dem eller endda downloade nye moduler på maskinen.

Malware er observeret på steder over hele verden, herunder Tyrkiet, Nordafrika og Mellemøsten, og ifølge Kaspersky Lab er de vigtigste placeringer, dette inficerede stykke kode er i Italien og Belgien. Den strategi, som angribere bruger til at narre brugere, erstatter to transponerede bogstaver i deres domænenavne og holder deres URL så tæt på det autentiske installationswebsted som muligt. Fillinket til installationsprogrammet omdirigeres derefter til det legitime WinRAR-distributørwebsted, og dette er bare WinRAR-fronten.

På billedet herunder kan du se en blå knap, som vi har fremhævet, som omdirigerer brugere til at 'ralrabcom' med ofre til ødelagte softwaresider, og i nogle tilfælde (hvoraf den ene blev optaget i Italien), hvor brugerne ikke var rettet til skamwebsteder, men til selve StrongPity-malware.

”Kaspersky Lab-data afslører, at i løbet af en enkelt uge optrådte malware, der blev leveret fra distributørwebstedet i Italien, på hundredvis af systemer i hele Europa og Nordafrika / Mellemøsten, med mange flere infektioner sandsynligvis, ” sagde firmaet. ”I løbet af hele sommeren var Italien (87 procent), Belgien (5 procent) og Algeriet (4 procent) hårdest ramt. Ophavsgeografien fra det inficerede sted i Belgien var lignende, hvor brugere i Belgien tegner sig for halvdelen (54 procent) af mere end 60 succesrige hits. ”

Bortset fra det, angav malware også angiveligt brugerne til bedragere, korrupte websider i stedet for TrueCrypt software-installationsprogrammet. Selvom mange af de inficerede WinRAR-links er blevet fjernet, er der stadig nogle TrueCrypt-installatører som foreslået af Kapersky Labs september-rapport. Udviklingen til TrueCrypt blev afbrudt fra maj 2014 efter at Microsoft opgav Windows XP.

Kurt Baumgartner, den vigtigste sikkerhedsforsker på Kaspersky Lab, sammenligner StrongPity med Crouching Yeti / Energetic Bear-angreb, der overtog og inficerede autentiske softwaredistributionswebsteder. Han omtaler denne tendens som ”uvelkommen og farlig” og siger, at den skal behandles med det samme.

”Disse taktikker er en uvelkommen og farlig tendens, som sikkerhedsindustrien har brug for. Søgningen efter privatliv og dataintegritet bør ikke udsætte en person for stødende vandhulskade. Vandhulleangreb er i sagens natur upræcise, og vi håber at anspore til diskussion om behovet for lettere og forbedret verifikation af levering af krypteringsværktøj. ”Sagde Kurt Baumgartner.

Det mest, vi kan gøre, er at holde vores brugere opdaterede og råde dem til at være smarte og forsigtige, mens de installerer værktøjer, da de muligvis indeholder vildledende links. Destruktiv malware som StrongPity kan nemt omdanne din pc til en beskadiget maskine.