Friendoffriends
Il team di sicurezza di Kaspersky Lab si è imbattuto in un malware scoperto di recente chiamato StrongPity che presumibilmente corrompe i file WinRAR e TrueCrypt legittimi.
WinRAR è uno dei migliori servizi per l'archiviazione di file su Windows oltre a gestire la compressione e l'estrazione mentre TrueCrypt è uno strumento di crittografia al volo interrotto. StrongPity prende di mira i computer travestendosi da installatore di detto software e acquisendone il pieno controllo. Può anche provare a rubare file, corromperli o persino scaricare nuovi moduli sulla macchina.
Il malware è stato osservato in località in tutto il mondo, tra cui Turchia, Nord Africa e Medio Oriente e, secondo Kaspersky Lab, le località principali in cui risiede questo pezzo di codice infetto sono Italia e Belgio. La strategia utilizzata dagli aggressori per ingannare gli utenti consiste nel sostituire due lettere trasposte nei loro nomi di dominio e mantenere il loro URL il più vicino possibile al sito di installazione autentico. Il collegamento al file del programma di installazione viene quindi reindirizzato al sito del distributore WinRAR legittimo e questo è solo il fronte di WinRAR.
Nell'immagine sotto, sarai in grado di individuare un pulsante blu che abbiamo evidenziato che reindirizza gli utenti a "ralrab [.] Com" portando le vittime a siti di software corrotti e in alcuni casi (uno dei quali è stato registrato in Italia) dove gli utenti non erano indirizzati a siti web fittizi ma al malware StrongPity stesso.
"I dati di Kaspersky Lab rivelano che nel corso di una sola settimana, il malware fornito dal sito del distributore in Italia è apparso su centinaia di sistemi in Europa e Nord Africa / Medio Oriente, con molte più probabilità di infezioni", ha affermato l'azienda. “Durante l'intera estate, l'Italia (87%), Belgio (5%) e Algeria (4%) sono state le più colpite. La geografia della vittima dal sito infetto in Belgio era simile, con gli utenti in Belgio che rappresentavano la metà (54%) di oltre 60 visite riuscite ".
A parte questo, il malware avrebbe anche indirizzato gli utenti a pagine Web ingannevoli e corrotte invece del programma di installazione del software TrueCrypt. Sebbene molti dei collegamenti WinRAR contaminati siano stati rimossi, rimangono ancora alcuni installatori di TrueCrypt come suggerito dal rapporto di settembre di Kapersky Labs. Gli sviluppi per TrueCrypt sono stati interrotti da maggio 2014 dopo che Microsoft ha abbandonato Windows XP.
Kurt Baumgartner, il principale ricercatore di sicurezza presso Kaspersky Lab, confronta StrongPity con gli attacchi Crouching Yeti / Energetic Bear che hanno preso il sopravvento e infettato i siti Web di distribuzione di software autentico. Si riferisce a questa tendenza come "sgradita e pericolosa" e afferma che deve essere affrontata immediatamente.
“Queste tattiche sono una tendenza sgradita e pericolosa che il settore della sicurezza deve affrontare. La ricerca della privacy e dell'integrità dei dati non dovrebbe esporre un individuo a danni offensivi da pozze d'acqua. Gli attacchi waterhole sono intrinsecamente imprecisi e speriamo di stimolare la discussione sulla necessità di una verifica più semplice e migliorata della consegna degli strumenti di crittografia ". ha detto Kurt Baumgartner.
Il massimo che possiamo fare è tenere aggiornati i nostri utenti e consigliarli di essere intelligenti e cauti durante l'installazione delle utilità in quanto potrebbero contenere collegamenti ingannevoli. Il malware distruttivo come StrongPity può facilmente trasformare il tuo PC in una macchina danneggiata.
- StrongPity
- truecrypt
- winrar
