A equipe de segurança da Kaspersky Lab encontrou um malware recém-descoberto chamado StrongPity que supostamente corrompe arquivos WinRAR e TrueCrypt legítimos.
WinRAR é um dos melhores serviços para arquivar arquivos no Windows, bem como lidar com compactação e extração, enquanto o TrueCrypt é uma ferramenta de criptografia instantânea descontinuada. O StrongPity tem como alvo os computadores disfarçando-se como um instalador para o referido software e ganhando controle total. Ele também pode tentar roubar arquivos, corrompê-los ou até mesmo baixar novos módulos na máquina.
O malware foi observado em locais ao redor do mundo, incluindo Turquia, Norte da África e Oriente Médio e, de acordo com a Kaspersky Lab, os principais locais desse código infectado são na Itália e na Bélgica. A estratégia que os invasores usam para enganar os usuários é substituir duas letras transpostas em seus nomes de domínio e manter seu URL o mais próximo possível do site do instalador autêntico. O link do arquivo do instalador é então redirecionado para o site legítimo do distribuidor WinRAR e esta é apenas a frente do WinRAR.
Na imagem abaixo, você poderá localizar um botão azul destacado que redireciona os usuários para 'ralrab [.] Com' levando as vítimas a sites de software corrompidos e, em alguns casos (um dos quais foi gravado na Itália) onde os usuários não foram direcionados para sites falsos, mas para o malware StrongPity em si.
“Os dados da Kaspersky Lab revelam que, no decorrer de uma única semana, malware entregue do site do distribuidor na Itália apareceu em centenas de sistemas em toda a Europa e Norte da África / Oriente Médio, com muito mais infecções prováveis”, disse a empresa. “Durante todo o verão, Itália (87%), Bélgica (5%) e Argélia (4%) foram os mais afetados. A geografia da vítima do site infectado na Bélgica era semelhante, com usuários na Bélgica respondendo por metade (54 por cento) de mais de 60 acessos bem-sucedidos. ”
Além disso, o malware também estava supostamente direcionando os usuários para páginas da web fraudulentas e corruptas, em vez do instalador do software TrueCrypt. Embora muitos dos links WinRAR corrompidos tenham sido removidos, ainda existem alguns instaladores TrueCrypt, conforme sugerido pelo relatório de setembro do Kapersky Labs. O desenvolvimento do TrueCrypt foi descontinuado em maio de 2014 depois que a Microsoft abandonou o Windows XP.
Kurt Baumgartner, o principal pesquisador de segurança da Kaspersky Lab, compara o StrongPity aos ataques Crouching Yeti / Energetic Bear que assumiram o controle e infectaram sites de distribuição de software autênticos. Ele se refere a essa tendência como "indesejável e perigosa" e diz que deve ser tratada imediatamente.
“Essas táticas são uma tendência indesejável e perigosa que a indústria de segurança precisa enfrentar. A busca por privacidade e integridade de dados não deve expor um indivíduo a danos ofensivos em poços de água. Ataques de poços de água são inerentemente imprecisos e esperamos estimular a discussão sobre a necessidade de uma verificação mais fácil e aprimorada da entrega de ferramentas de criptografia. ” disse Kurt Baumgartner.
O máximo que podemos fazer é manter nossos usuários atualizados e aconselhá-los a serem inteligentes e cautelosos ao instalar utilitários, pois eles podem conter links enganosos. Malwares destrutivos como o StrongPity podem facilmente transformar seu PC em uma máquina danificada.
- StrongPity
- truecrypt
- winrar