Сотрудники службы безопасности «Лаборатории Касперского» наткнулись на недавно обнаруженную вредоносную программу StrongPity, которая якобы повреждает легальные файлы WinRAR и TrueCrypt.

WinRAR - один из лучших сервисов для архивирования файлов в Windows, а также для сжатия и извлечения, тогда как TrueCrypt - это устаревший инструмент шифрования на лету. StrongPity предназначается для компьютеров, маскируясь как установщик для указанного программного обеспечения и получая полный контроль. Он также может пытаться украсть файлы, повредить их или даже загрузить новые модули на машину.

Вредоносная программа была обнаружена в разных точках мира, включая Турцию, Северную Африку и на Ближнем Востоке, и, по данным «Лаборатории Касперского», основные места, где находится этот зараженный фрагмент кода, находятся в Италии и Бельгии. Стратегия, которую злоумышленники используют для обмана пользователей, заключается в замене двух транспонированных букв в именах их доменов и сохранении их URL-адреса как можно ближе к аутентичному сайту установщика. Ссылка на файл установщика затем перенаправляется на законный сайт дистрибьютора WinRAR, и это всего лишь фронт WinRAR.

На изображении ниже вы сможете заметить синюю кнопку, которую мы выделили, которая перенаправляет пользователей на «ralrabcom», доставляя жертв на испорченные сайты программного обеспечения, а в некоторых случаях (одна из которых была зарегистрирована в Италии), где пользователи не были направлены на фиктивные сайты, но на саму вредоносную программу StrongPity.

«Данные« Лаборатории Касперского »показывают, что в течение одной недели вредоносное ПО, распространяемое с сайта дистрибьютора в Италии, появилось на сотнях систем в Европе и Северной Африке / на Ближнем Востоке, и, вероятно, еще много заражений», - сказали в компании. «В течение всего лета больше всего пострадали Италия (87 процентов), Бельгия (5 процентов) и Алжир (4 процента). География жертв с зараженного сайта в Бельгии была схожей: на пользователей в Бельгии приходится половина (54 процента) из более чем 60 успешных обращений ».

Кроме того, по сообщениям, вредоносная программа также направляла пользователей на лживые, испорченные веб-страницы вместо установщика программного обеспечения TrueCrypt. Хотя многие испорченные ссылки WinRAR были удалены, некоторые инсталляторы TrueCrypt все еще остаются, как это было предложено в сентябрьском отчете Kapersky Labs. Разработка для TrueCrypt была прекращена с мая 2014 года, после того как Microsoft отказалась от Windows XP.

Курт Баумгартнер, главный исследователь безопасности в «Лаборатории Касперского», сравнивает StrongPity с атаками Crouching Yeti / Energetic Bear, которые захватили подлинные сайты распространения программного обеспечения. Он называет эту тенденцию «нежелательной и опасной» и говорит, что ее необходимо устранить немедленно.

«Эта тактика является нежелательной и опасной тенденцией, которой должна заниматься отрасль безопасности. Поиск конфиденциальности и целостности данных не должен подвергать человека оскорбительному повреждению водяной скважины. Атаки на «водяные дыры» изначально неточны, и мы надеемся стимулировать дискуссию о необходимости более простой и улучшенной проверки доставки средств шифрования », - сказал Курт Баумгартнер.

Максимум, что мы можем сделать, это держать наших пользователей в курсе и посоветовать им быть умными и осторожными при установке утилит, поскольку они могут содержать обманчивые ссылки. Разрушительные вредоносные программы, такие как StrongPity, могут легко превратить ваш компьютер в поврежденную машину.