Friendoffriends
Das Sicherheitsteam von Kaspersky Lab stieß auf eine neu entdeckte Malware namens StrongPity, die angeblich legitime WinRAR- und TrueCrypt-Dateien beschädigt.
WinRAR ist einer der besten Dienste für die Archivierung von Dateien unter Windows sowie für die Komprimierung und Extraktion, während TrueCrypt ein nicht mehr verfügbares On-the-Fly-Verschlüsselungstool ist. StrongPity zielt auf Computer ab, indem es sich als Installateur für diese Software tarnt und die volle Kontrolle erlangt. Möglicherweise wird auch versucht, Dateien zu stehlen, zu beschädigen oder sogar neue Module auf den Computer herunterzuladen.
Die Malware wurde an Orten auf der ganzen Welt beobachtet, darunter in der Türkei, in Nordafrika und im Nahen Osten. Laut Kaspersky Lab befinden sich die Hauptorte, an denen sich dieser infizierte Code befindet, in Italien und Belgien. Die Strategie, mit der Angreifer Benutzer zum Narren halten, besteht darin, zwei transponierte Buchstaben in ihren Domainnamen zu ersetzen und ihre URL so nah wie möglich an der authentischen Installationssite zu halten. Der Dateilink des Installationsprogramms wird dann zur legitimen WinRAR-Distributor-Site umgeleitet, und dies ist nur die WinRAR-Front.
In der Abbildung unten sehen Sie eine blaue Schaltfläche, die wir hervorgehoben haben und die Benutzer zu "ralrab [.] Com" umleitet, um Opfer zu beschädigten Software-Websites zu bringen, und in einigen Fällen (von denen eine in Italien aufgezeichnet wurde). wo Benutzer nicht auf Schein-Websites, sondern auf die StrongPity-Malware selbst verwiesen wurden.
"Die Daten von Kaspersky Lab zeigen, dass im Laufe einer Woche Malware, die vom Distributor in Italien geliefert wurde, auf Hunderten von Systemen in Europa und Nordafrika / im Nahen Osten aufgetreten ist, wobei wahrscheinlich viele weitere Infektionen auftreten", sagte das Unternehmen. „Während des gesamten Sommers waren Italien (87 Prozent), Belgien (5 Prozent) und Algerien (4 Prozent) am stärksten betroffen. Die Geografie der Opfer von der infizierten Website in Belgien war ähnlich. Auf Benutzer in Belgien entfiel die Hälfte (54 Prozent) der mehr als 60 erfolgreichen Treffer. “
Abgesehen davon leitete die Malware Berichten zufolge Benutzer zu betrügerischen, beschädigten Webseiten anstelle des TrueCrypt-Software-Installationsprogramms. Obwohl viele der verschmutzten WinRAR-Links entfernt wurden, gibt es noch einige TrueCrypt-Installationsprogramme, wie im September-Bericht von Kapersky Labs vorgeschlagen. Die Entwicklung für TrueCrypt wurde ab Mai 2014 eingestellt, nachdem Microsoft Windows XP aufgegeben hatte.
Kurt Baumgartner, der wichtigste Sicherheitsforscher bei Kaspersky Lab, vergleicht StrongPity mit Angriffen von Crouching Yeti / Energetic Bear, die authentische Software-Distributions-Websites übernommen und infiziert haben. Er bezeichnet diesen Trend als „unerwünscht und gefährlich“ und sagt, er müsse sofort angegangen werden.
„Diese Taktik ist ein unerwünschter und gefährlicher Trend, dem sich die Sicherheitsbranche stellen muss. Die Suche nach Datenschutz und Datenintegrität sollte eine Person keinen anstößigen Wasserlochschäden aussetzen. Wasserlochangriffe sind von Natur aus ungenau, und wir hoffen, die Diskussion über die Notwendigkeit einer einfacheren und verbesserten Überprüfung der Bereitstellung von Verschlüsselungswerkzeugen anzuregen. “ sagte Kurt Baumgartner.
Das Beste, was wir tun können, ist, unsere Benutzer auf dem Laufenden zu halten und ihnen zu raten, bei der Installation von Dienstprogrammen klug und vorsichtig zu sein, da sie möglicherweise irreführende Links enthalten. Zerstörerische Malware wie StrongPity kann Ihren PC leicht in einen beschädigten Computer verwandeln.
- Starkes Mitleid
- truecrypt
- Winrar
