Сигурносни тим компаније Касперски Лабови налетео је на новооткривени малваре зван СтронгПити који наводно оштећује легитимне датотеке ВинРАР и ТруеЦрипт.

ВинРАР је један од најбољих сервиса за архивирање датотека на Виндовс-у, као и за компресију и екстракцију, док је ТруеЦрипт прекинуо алат за енкрипцију у лету. СтронгПити циља рачунаре тако што се прикрива као инсталатер наведеног софтвера и добија пуну контролу. Такође може покушати да украде датотеке, оштети их или чак преузме нове модуле на машини.

Злонамерни софтвер је примећен на локацијама широм света, укључујући Турску, Северну Африку и Блиски Исток, а према лабораторији Касперски-а, главне локације на којима се налази овај заражени део кода налазе се у Италији и Белгији. Стратешки нападачи који користе заваравање корисника замењују два транспонована слова у именима њихових домена и држе њихов УРЛ што је могуће ближе веродостојном инсталационом месту. Повезава датотеке инсталационог софтвера преусмерава се на легитимно ВинРАР дистрибутерско место и то је само предња страна ВинРАР-а.

На слици доле моћи ћете уочити плаво дугме које смо истакли и које преусмерава кориснике да 'ралрабцом' доводе жртве на оштећене софтверске локације, а у неким случајевима (од којих је један снимљен у Италији) где корисници нису били усмерен на лажне веб локације, али и на сам штетни софтвер СтронгПити.

„Подаци компаније Касперски Лаб откривају да се током једне недеље злонамерни софтвер испоручен са дистрибутерског места у Италији појавио на стотинама система широм Европе и Северне Африке / Блиског Истока, са вероватноћом много више инфекција“, саопштила је фирма. „Током читавог лета највише су погођене Италија (87 одсто), Белгија (5 одсто) и Алжир (4 одсто). Географија жртава са заражених локација у Белгији била је слична, а корисници у Белгији чинили су половину (54 процента) од више од 60 успешних погодака."

Поред тога, наводно је злонамјерни софтвер усмеравао кориснике на лажне, покварене веб странице уместо инсталационог софтвера ТруеЦрипт. Иако су уклоњене многе заражене везе ВинРАР-а, још увек постоје неки инсталатори ТруеЦрипт-а како је предложено у септембарском извештају компаније Каперски Лабс. Развој за ТруеЦрипт прекинуо је од маја 2014. након што је Мицрософт напустио Виндовс КСП.

Курт Баумгартнер, главни истраживач безбедности у компанији Касперски Лаб, упоређује СтронгПити са прекидом напада Иети / Енергетиц Беар-а који су преузели и заразили аутентичне веб локације за дистрибуцију софтвера. Овај тренд назива "непожељним и опасним" и каже да се мора одмах решити.

„Ове тактике су непожељан и опасан тренд са којим се индустрија безбедности треба позабавити. Потрага за приватношћу и интегритетом података не би требало да излаже појединца увредљивој штети на воденој рупи. Напади на воденим отворима су непрецизни и надамо се да ћемо потакнути дискусију око потребе за лакшом и побољшаном верификацијом испоруке алата за шифровање. “Рекао је Курт Баумгартнер.

Највише што можемо је да ажурирамо своје кориснике и саветујемо их да буду паметни и опрезни док инсталирају услужне програме јер могу садржавати лажне везе. Разарајући малваре као што је СтронгПити може лако да претвори рачунар у оштећену машину.