Het beveiligingsteam van Kaspersky Lab stuitte op een nieuw ontdekte malware genaamd StrongPity die naar verluidt legitieme WinRAR- en TrueCrypt-bestanden corrumpeert.

WinRAR is een van de beste services voor het archiveren van bestanden op Windows en het omgaan met compressie en extractie, terwijl TrueCrypt een on-the-fly encryptietool is. StrongPity richt zich op computers door zichzelf te vermommen als een installatieprogramma voor genoemde software en volledige controle te krijgen. Het kan ook proberen bestanden te stelen, ze te beschadigen of zelfs nieuwe modules op de machine te downloaden.

De malware is waargenomen op locaties over de hele wereld, waaronder Turkije, Noord-Afrika en het Midden-Oosten, en volgens Kaspersky Lab zijn de belangrijkste locaties waar dit geïnfecteerde stukje code zich bevindt in Italië en België. De aanvallers die de strategie gebruiken om gebruikers voor de gek te houden, vervangen twee getransponeerde letters in hun domeinnamen en houden hun URL zo dicht mogelijk bij de authentieke installer-site. De bestandskoppeling van het installatieprogramma wordt vervolgens omgeleid naar de legitieme WinRAR-distributeursite en dit is slechts het WinRAR-front.

In de onderstaande afbeelding ziet u een blauwe knop die we hebben gemarkeerd en die gebruikers omleidt naar 'ralrabcom' en slachtoffers naar beschadigde softwaresites brengt, en in sommige gevallen (waarvan er een in Italië is opgenomen) waar gebruikers niet waren gericht op valse websites, maar op de StrongPity-malware zelf.

"Gegevens van Kaspersky Lab laten zien dat in één week tijd malware van de distributeursite in Italië op honderden systemen in heel Europa en Noord-Afrika / Midden-Oosten verscheen, met waarschijnlijk nog veel meer infecties, " zei het bedrijf. “De hele zomer werden Italië (87 procent), België (5 procent) en Algerije (4 procent) het zwaarst getroffen. De geografie van het slachtoffer van de geïnfecteerde site in België was vergelijkbaar, met gebruikers in België die goed waren voor de helft (54 procent) van meer dan 60 succesvolle hits."

Afgezien daarvan stuurde de malware gebruikers naar verluidt ook naar bedrieglijke, corrupte webpagina's in plaats van het TrueCrypt-software-installatieprogramma. Hoewel veel van de aangetaste WinRAR-koppelingen zijn verwijderd, blijven er nog enkele TrueCrypt-installatieprogramma's over zoals gesuggereerd in het rapport van Kapersky Labs in september. De ontwikkelingen voor TrueCrypt werden stopgezet vanaf mei 2014 nadat Microsoft Windows XP had verlaten.

Kurt Baumgartner, de belangrijkste beveiligingsonderzoeker bij Kaspersky Lab, vergelijkt StrongPity met Crouching Yeti / Energetic Bear-aanvallen die authentieke softwaredistributiewebsites hebben overgenomen en geïnfecteerd. Hij noemt deze trend 'onwelkom en gevaarlijk' en zegt dat deze onmiddellijk moet worden aangepakt.

“Deze tactieken zijn een ongewenste en gevaarlijke trend die de beveiligingsindustrie moet aanpakken. Het zoeken naar privacy en gegevensintegriteit mag een persoon niet blootstellen aan aanstootgevende schade aan de waterput. Waterhole-aanvallen zijn inherent onnauwkeurig en we hopen discussie op gang te brengen over de behoefte aan eenvoudiger en verbeterde verificatie van de levering van encryptietools ”, aldus Kurt Baumgartner.

Het beste wat we kunnen doen is onze gebruikers op de hoogte houden en hen adviseren slim en voorzichtig te zijn bij het installeren van hulpprogramma's, omdat deze misleidende koppelingen kunnen bevatten. Destructieve malware zoals StrongPity kan van uw pc gemakkelijk een beschadigde machine maken.