Data: Czwartek, 17 listopada 2016, 19:19

Ponad tysiąc użytkowników szukających oprogramowania do szyfrowania wpadło w sidła zastawione przez grupę StrongPity

StrongPity to zaawansowane ugrupowanie cyberprzestępcze, które specjalizuje się w zaszyfrowanych danych i komunikacji. Na przestrzeni ostatnich kilku miesięcy badacze z Kaspersky Lab zaobserwowali znaczące nasilenie się ataków tej grupy na użytkowników poszukujących dwóch popularnych narzędzi szyfrowania dokumentów: WinRAR oraz TrueCrypt.

Szkodliwe oprogramowanie StrongPity zawiera komponenty, które zapewniają atakującym pełną kontrolę nad systemem ofiary, umożliwia kradzież zawartości dysku oraz pobieranie dodatkowych modułów w celu przechwycenia komunikacji i kontaktów. Eksperci z Kaspersky Lab wykryli odwiedziny stron zainfekowanych przez StrongPity oraz obecność szkodliwego kodu wykorzystywanego przez tę grupę na ponad tysiącu zaatakowanych systemów.

W celu złapania ofiar cyberprzestępcy tworzyli fałszywe strony internetowe. W jednym przypadku zmieniono miejscami dwie litery w nazwie domeny, tak aby klienci nie zauważyli, że mają do czynienia z nielegalną witryną instalatora dla oprogramowania WinRAR. Następnie atakujący umieścili widoczny odsyłacz prowadzący do tej szkodliwej domeny na stronie dystrybutora oprogramowania WinRAR w Belgii. Prawdopodobnie podmienili odsyłacz „Polecane”, który znajdował się na tej stronie, aby zwabić niczego nieświadomych użytkowników do swojego zatrutego instalatora. Pierwsze skuteczne przekierowanie zostało wykryte przez badaczy z Kaspersky Lab 28 maja 2016 r.

Niemal w tym samym czasie, 24 maja, zarejestrowano szkodliwą aktywność na stronie włoskiego dystrybutora oprogramowania WinRAR. Jednak w tym przypadku użytkownicy nie byli przekierowywani na fałszywą stronę internetową, ale serwowano im szkodliwego instalatora StrongPity bezpośrednio z oficjalnej witryny. StrongPity przekierowywał również użytkowników z popularnych stron współdzielenia oprogramowania do swoich instalatorów narzędzia TrueCrypt „wzbogaconych” o trojany. Pod koniec września aktywność ta nadal trwała.

Szkodliwe odsyłacze zostały już usunięte ze stron dystrybutorów oprogramowania WinRAR, jednak pod koniec września oszukańcza strona z zainfekowanym narzędziem TrueCrypt nadal działała.