Sigurnosni tim Kaspersky Laba naletio je na novootkriveni zlonamjerni softver pod nazivom StrongPity koji navodno oštećuje legitimne datoteke WinRAR i TrueCrypt.

WinRAR je jedna od najboljih usluga za arhiviranje datoteka na Windows-u, kao i za rješavanje kompresije i ekstrakcije, dok je TrueCrypt prekinuo alat za enkripciju u pokretu. StrongPity cilja računala na način da se prikrije kao instalater navedenog softvera i dobije potpunu kontrolu. Također može pokušati ukrasti datoteke, oštetiti ih ili čak preuzeti nove module na uređaj.

Zlonamjerni softver primjećen je na lokacijama širom svijeta, uključujući Tursku, Sjevernu Afriku i Bliski Istok, a prema podacima Kaspersky Lab-a, glavna mjesta na kojima se nalazi ovaj zaraženi dio koda nalaze se u Italiji i Belgiji. Strateški napadači koji koriste zavaravanje korisnika zamjenjuju dva transponirana slova u imenima njihove domene i drže njihov URL što je moguće bliže autentičnom mjestu za instalaciju. Povezava datoteke instalacijskog programa preusmjerava se na legitimno WinRAR distribucijsko mjesto i to je samo prednja strana WinRAR-a.

Na slici dolje moći ćete primijetiti plavo dugme koje smo istaknuli i koji preusmjerava korisnike da 'ralrabcom' dovode žrtve na oštećene softverske web lokacije, au nekim slučajevima (od kojih je jedan zabilježen u Italiji) gdje korisnici nisu bili usmjeren na lažna web mjesta, ali i na sam štetni softver StrongPity.

"Podaci tvrtke Kaspersky Lab otkrivaju da se tijekom jednog tjedna zlonamjerni softver isporučen s distributerskog mjesta u Italiji pojavio na stotinama sustava diljem Europe i Sjeverne Afrike / Bliskog Istoka, s mnogo više infekcija", rekla je tvrtka. „Tijekom čitavog ljeta najviše su pogođene Italija (87 posto), Belgija (5 posto) i Alžir (4 posto). Geografija žrtava sa zaraženih lokacija u Belgiji bila je slična, a korisnici u Belgiji činili su polovinu (54 posto) od više od 60 uspješnih pogodaka."

Osim toga, zlonamjerni je softver navodno usmjeravao korisnike na lažne, korumpirane web stranice umjesto instalacijskog softvera TrueCrypt. Iako su uklonjene mnoge zaražene veze WinRAR-a, još uvijek postoje neki instalatori TrueCrypt-a kako je predloženo u rujanskom izvješću Kapersky Labs-a. Razvoja za TrueCrypt prekinuta je od svibnja 2014. nakon što je Microsoft napustio Windows XP.

Kurt Baumgartner, glavni sigurnosni istraživač u laboratoriju Kaspersky, uspoređuje StrongPity s prekrivanjem napada Yeti / Energetic Bear koji su preuzeli i zarazili autentične web stranice za distribuciju softvera. Ovaj trend naziva "nepoželjnim i opasnim" i kaže da ga treba odmah riješiti.

„Te su taktike nepoželjan i opasan trend s kojim se sigurnosna industrija mora suočiti. Potraga za privatnošću i integritetom podataka ne bi trebala izlagati pojedinca uvredljivoj šteti na vodenoj rupi. Napadi na vodoootpori su suštinski neprecizni, te se nadamo da će potaknuti raspravu oko potrebe za lakšom i poboljšanom provjerom isporuke alata za šifriranje. “Rekao je Kurt Baumgartner.

Najviše što možemo učiniti je ažurirati naše korisnike i savjetovati ih da budu pametni i oprezni prilikom instaliranja uslužnih programa jer mogu sadržavati lažne veze. Uništavajući zlonamjerni softver poput StrongPityja može lako pretvoriti vaše računalo u oštećeni stroj.