Kaspersky Labin turvallisuusryhmä kompastui äskettäin löydetyn StrongPity-haittaohjelman yli, jonka väitetään vahingoittavan laillisia WinRAR- ja TrueCrypt-tiedostoja.

WinRAR on yksi parhaista palveluista tiedostojen arkistointiin Windowsissa sekä pakkaamiseen ja purkamiseen, kun taas TrueCrypt on lopetettu lennossa oleva salaustyökalu. StrongPity kohdistaa tietokoneita peittämällä itsensä mainitun ohjelmiston asentajaksi ja saaden täyden hallinnan. Se voi myös yrittää varastaa tiedostoja, vioittaa niitä tai jopa ladata uusia moduuleja koneelle.

Haittaohjelmia on havaittu ympäri maailmaa, mukaan lukien Turkki, Pohjois-Afrikka ja Lähi-itä, ja Kaspersky Labin mukaan tämän tartunnan saaneen koodin pääpaikat ovat Italiassa ja Belgiassa. Strategiahyökkääjät, jotka käyttävät käyttäjän huijaamista, korvaavat kaksi siirrettyä kirjainta verkkotunnuksissaan ja pitävät heidän URL-osoitteensa mahdollisimman lähellä aitoa asennuspaikkaa. Asentajan tiedostolinkki ohjataan sitten lailliseen WinRAR-jakelusivustoon, ja tämä on vain WinRAR-etusivu.

Alla olevassa kuvassa voit havaita sinisen painikkeen, jonka olemme korostaneet ja joka ohjaa käyttäjiä "ralrabcomiin" vieden uhreja vioittuneille ohjelmistosivustoille ja joissakin tapauksissa (joista yksi tallennettiin Italiassa), joissa käyttäjiä ei ollut suunnattu huijatuille verkkosivustoille, mutta itse StrongPity-haittaohjelmille.

"Kaspersky Labin tiedot paljastavat, että yhden viikon kuluessa Italian jakelijapaikasta toimitetut haittaohjelmat ilmestyivät satoihin järjestelmiin kaikkialla Euroopassa ja Pohjois-Afrikassa / Lähi-idässä, ja todennäköisesti paljon enemmän tartuntoja", totesi yritys. ”Koko kesän vaikutukset kärsivät eniten Italiasta (87 prosenttia), Belgiasta (5 prosenttia) ja Algeriasta (4 prosenttia). Uhrin maantieteellinen sijainti tartunnan saaneesta sivustosta Belgiassa oli samanlainen: käyttäjien osuus Belgiassa oli yli puolet (54 prosenttia) yli 60 onnistuneesta osumasta."

Tämän lisäksi haittaohjelmien tiedettiin myös johtavan käyttäjiä petollisille, korruptoituneille verkkosivuille TrueCrypt-ohjelmiston asentajan sijaan. Vaikka monet pilaantuneet WinRAR-linkit on poistettu, edelleen on joitain TrueCrypt-asennusohjelmia, kuten Kapersky Labsin syyskuun raportti ehdotti. TrueCrypt-tuotekehitys lopetettiin toukokuusta 2014, kun Microsoft luopui Windows XP: stä.

Kaspersky Labin tärkein tietoturvatutkija Kurt Baumgartner vertaa StrongPitya Crouching Yeti / Energetic Bear -hyökkäyksiin, jotka valloittivat ja saastuttivat aitoja ohjelmistojen jakeluverkostoja. Hän viittaa tähän suuntaukseen "ei-toivotuksi ja vaaralliseksi" ja sanoo, että siihen on puututtava välittömästi.

"Nämä taktiikat ovat toivomaton ja vaarallinen trendi, johon turvallisuusalan on puututtava. Yksityisyyden ja tietojen eheyden etsiminen ei saisi altistaa henkilöä loukkaaville vesireikien vaurioille. Vesiaukkohyökkäykset ovat luonnostaan ​​epätarkkoja, ja toivomme vauhdittavan keskustelua tarpeesta helpottaa ja parantaa salausvälineiden toimituksen todentamista. ”Kurt Baumgartner sanoi.

Voimme vain pitää käyttäjät päivitettyinä ja neuvoa heitä olemaan älykkäitä ja varovaisia ​​asennettaessa apuohjelmia, koska ne saattavat sisältää petollisia linkkejä. Tuhoavat haittaohjelmat, kuten StrongPity, voivat helposti muuttaa tietokoneesi vaurioituneeksi koneeksi.