Das Sicherheitsteam von Kaspersky Lab ist auf eine neu entdeckte Malware namens StrongPity gestoßen, die angeblich legitime WinRAR- und TrueCrypt-Dateien beschädigt.

WinRAR ist einer der besten Dienste für die Archivierung von Dateien unter Windows sowie für die Komprimierung und Extraktion, während TrueCrypt ein nicht mehr laufendes Verschlüsselungstool ist. StrongPity zielt auf Computer ab, indem es sich als Installationsprogramm für diese Software tarnt und die volle Kontrolle erlangt. Möglicherweise wird auch versucht, Dateien zu stehlen, zu beschädigen oder sogar neue Module auf den Computer herunterzuladen.

Die Malware wurde an Orten auf der ganzen Welt beobachtet, darunter in der Türkei, in Nordafrika und im Nahen Osten. Laut Kaspersky Lab befinden sich die Hauptorte für diesen infizierten Code in Italien und Belgien. Die Strategie, mit der Angreifer Benutzer zum Narren halten, besteht darin, zwei transponierte Buchstaben in ihren Domain-Namen zu ersetzen und ihre URL so nah wie möglich an der authentischen Installationssite zu halten. Der Dateilink des Installationsprogramms wird dann auf die legitime WinRAR-Distributionssite umgeleitet, und dies ist nur die WinRAR-Front.

In der Abbildung unten können Sie einen blauen Button erkennen, den wir hervorgehoben haben. Dieser leitet Benutzer zu "ralrabcom" weiter, um Opfer auf beschädigte Software-Websites zu leiten an Scheinwebsites, aber an die StrongPity-Malware selbst gerichtet.

"Die Daten von Kaspersky Lab zeigen, dass im Laufe einer Woche Malware, die vom Distributor in Italien geliefert wurde, auf Hunderten von Systemen in ganz Europa und Nordafrika / Naher Osten aufgetreten ist, wobei mit viel mehr Infektionen zu rechnen ist", sagte das Unternehmen. „Während des gesamten Sommers waren Italien (87 Prozent), Belgien (5 Prozent) und Algerien (4 Prozent) am stärksten betroffen. Die Geografie der Opfer der infizierten Website in Belgien war ähnlich: Die Hälfte (54 Prozent) der mehr als 60 erfolgreichen Zugriffe entfiel auf Nutzer in Belgien. “

Abgesehen davon wurde berichtet, dass die Malware Benutzer auf betrügerische, beschädigte Webseiten anstatt auf das TrueCrypt-Software-Installationsprogramm weiterleitete. Obwohl viele der beschädigten WinRAR-Links entfernt wurden, gibt es noch einige TrueCrypt-Installationsprogramme, wie im Septemberbericht von Kapersky Labs vorgeschlagen. Die Entwicklung von TrueCrypt wurde im Mai 2014 eingestellt, nachdem Microsoft Windows XP aufgegeben hatte.

Kurt Baumgartner, der leitende Sicherheitsforscher bei Kaspersky Lab, vergleicht StrongPity mit Angriffen von hockenden Yeti / Energetischen Bären, die Websites mit authentischer Softwareverteilung übernommen und infiziert haben. Er bezeichnet diesen Trend als "unerwünscht und gefährlich" und sagt, er müsse sofort angegangen werden.

„Diese Taktik ist ein unerwünschter und gefährlicher Trend, dem sich die Sicherheitsbranche stellen muss. Die Suche nach Datenschutz und Datenintegrität sollte eine Person keinen anstößigen Wasserlochschäden aussetzen. Waterhole-Angriffe sind von Natur aus ungenau und wir hoffen, die Diskussion über die Notwendigkeit einer einfacheren und verbesserten Überprüfung der Bereitstellung von Verschlüsselungswerkzeugen anzuregen. “, Sagte Kurt Baumgartner.

Das Beste, was wir tun können, ist, unsere Benutzer auf dem Laufenden zu halten und ihnen zu raten, bei der Installation von Dienstprogrammen klug und vorsichtig zu sein, da diese möglicherweise irreführende Links enthalten. Zerstörerische Malware wie StrongPity kann Ihren PC leicht in einen beschädigten Computer verwandeln.