Il team di sicurezza di Kaspersky Lab si è imbattuto in un malware appena scoperto chiamato StrongPity che presumibilmente corrompe i legittimi file WinRAR e TrueCrypt.

WinRAR è uno dei migliori servizi per l'archiviazione di file su Windows e per la gestione della compressione e dell'estrazione, mentre TrueCrypt è uno strumento di crittografia al volo fuori produzione. StrongPity prende di mira i computer nascondendosi come un installatore per detto software e ottenendo il pieno controllo. Potrebbe anche tentare di rubare file, corromperli o persino scaricare nuovi moduli sul computer.

Il malware è stato osservato in luoghi in tutto il mondo, tra cui Turchia, Nord Africa e Medio Oriente e, secondo Kaspersky Lab, le principali località in cui risiede questo codice infetto si trovano in Italia e Belgio. La strategia utilizzata dagli aggressori per ingannare gli utenti consiste nel sostituire due lettere trasposte nei loro nomi di dominio e mantenere il loro URL il più vicino possibile al sito di installazione autentico. Il collegamento al file del programma di installazione viene quindi reindirizzato al sito legittimo del distributore WinRAR e questo è solo il fronte di WinRAR.

Nell'immagine seguente, sarai in grado di individuare un pulsante blu che abbiamo evidenziato che reindirizza gli utenti a "ralrabcom" che porta le vittime a siti di software danneggiati e in alcuni casi (uno dei quali è stato registrato in Italia) in cui gli utenti non erano diretto a falsificare siti Web ma al malware StrongPity stesso.

"I dati di Kaspersky Lab rivelano che nel corso di una sola settimana, il malware consegnato dal sito del distributore in Italia è apparso su centinaia di sistemi in Europa e Nord Africa / Medio Oriente, con molte più infezioni probabilmente", ha affermato l'azienda. “Per tutta l'estate, l'Italia (87 percento), il Belgio (5 percento) e l'Algeria (4 percento) sono state le più colpite. La geografia delle vittime dal sito infetto in Belgio era simile, con gli utenti in Belgio che rappresentavano la metà (54 percento) di oltre 60 successi."

A parte ciò, secondo quanto riferito, il malware indirizzava gli utenti a pagine Web ingannevoli e corrotte anziché al programma di installazione del software TrueCrypt. Sebbene molti dei link WinRAR contaminati siano stati rimossi, rimangono ancora alcuni programmi di installazione di TrueCrypt come suggerito dal rapporto di settembre di Kapersky Labs. Gli sviluppi per TrueCrypt sono stati interrotti da maggio 2014 dopo che Microsoft ha abbandonato Windows XP.

Kurt Baumgartner, il principale ricercatore di sicurezza presso Kaspersky Lab, confronta StrongPity con gli attacchi di Yeti / Orso energico accovacciati che hanno preso il controllo e infettato siti Web di distribuzione di software autentici. Si riferisce a questa tendenza come "indesiderata e pericolosa" e afferma che deve essere affrontata immediatamente.

"Queste tattiche sono una tendenza sgradita e pericolosa che l'industria della sicurezza deve affrontare. La ricerca di privacy e integrità dei dati non dovrebbe esporre un individuo a danni offensivi alla pozza d'acqua. Gli attacchi Waterhole sono intrinsecamente imprecisi e speriamo di stimolare la discussione sulla necessità di una verifica più semplice e migliorata della consegna degli strumenti di crittografia ", ha affermato Kurt Baumgartner.

Il massimo che possiamo fare è mantenere i nostri utenti aggiornati e consigliare loro di essere intelligenti e cauti durante l'installazione di utility in quanto potrebbero contenere collegamenti ingannevoli. Il malware distruttivo come StrongPity può facilmente trasformare il tuo PC in un computer danneggiato.