Команда з безпеки лабораторії Касперського натрапила на нещодавно виявлене зловмисне програмне забезпечення під назвою StrongPity, яке нібито пошкоджує законні файли WinRAR та TrueCrypt.

WinRAR - один з найкращих сервісів для архівування файлів у Windows, а також боротьби зі стисканням та вилученням, тоді як TrueCrypt - це припинений інструмент шифрування на льоту. StrongPity орієнтується на комп’ютери, маскуючись у програмі встановлення цього програмного забезпечення та отримуючи повний контроль. Він також може спробувати вкрасти файли, пошкодити їх або навіть завантажити нові модулі на апарат.

Зловмисне програмне забезпечення спостерігалось у різних регіонах світу, включаючи Туреччину, Північну Африку та Близький Схід, і, за даними Лабораторії Касперського, основні місця, де цей інфікований код знаходиться в Італії та Бельгії. Зловмисники стратегії використовують для того, щоб обдурити користувачів, замінюючи дві перекладені літери у своїх доменних іменах та зберігаючи їх URL максимально наближеним до справжнього сайту інсталятора. Потім посилання на файл інсталятора переспрямовується на законний сайт дистрибутора WinRAR, і це лише фронт WinRAR.

На зображенні нижче ви зможете помітити синю кнопку, яку ми виділили, яка перенаправляє користувачів на "ralrabcom", приймаючи жертв на пошкоджені сайти програмного забезпечення, а в деяких випадках (один з яких був записаний в Італії), коли користувачі не були спрямований на шахрайські веб-сайти, але на саме шкідливе програмне забезпечення StrongPity.

"Дані лабораторії Касперського показують, що протягом одного тижня зловмисне програмне забезпечення, яке доставлялося з дистриб'юторських сайтів в Італії, з'явилося на сотнях систем по всій Європі та Північній Африці / Близькому Сході, імовірно, ще багато інфекцій", - сказала фірма. «Протягом усього літа найбільше постраждали Італія (87%), Бельгія (5%) та Алжир (4%). Географія жертв із зараженого сайту в Бельгії була схожа, і користувачі в Бельгії становили половину (54 відсотків) понад 60 успішних звернень."

Крім цього, зловмисне програмне забезпечення також спрямовувало користувачів на оманливі, корумповані веб-сторінки замість встановлення програмного забезпечення TrueCrypt. Хоча багато зіпсованих посилань WinRAR було видалено, все ще залишаються деякі встановники TrueCrypt, як це запропоновано у вересневому звіті Kapersky Labs. Розробки для TrueCrypt були припинені з травня 2014 року після відмови від Microsoft Windows XP.

Курт Баумгартнер, головний науковий співробітник Лабораторії Касперського, порівнює StrongPity зі скрутними атаками Yeti / Energetic Bear, які переймали та заражали справжні веб-сайти з розповсюдження програмного забезпечення. Він називає цю тенденцію як "небажану та небезпечну" і каже, що її потрібно негайно вирішити.

«Ця тактика є небажаною і небезпечною тенденцією, з якою потрібно боротися в галузі безпеки. Пошук конфіденційності та цілісності даних не повинен піддавати людину образливих пошкоджень на воді. Атаки на забої води є несуттєвими, і ми сподіваємося, що спонукаємо до обговорення необхідності спрощення та вдосконалення перевірки доставки інструменту шифрування », - сказав Курт Баумгартнер.

Найбільше, що ми можемо зробити, - це оновлювати наших користувачів та радити їм бути розумними та обережними під час встановлення утиліт, оскільки вони можуть містити оманливі посилання. Згубні зловмисні програми, такі як StrongPity, можуть легко перетворити ваш ПК на пошкоджену машину.