Friendoffriends
El equipo de seguridad de Kaspersky Lab se topó con un malware recientemente descubierto llamado StrongPity que supuestamente corrompe archivos legítimos de WinRAR y TrueCrypt..
WinRAR es uno de los mejores servicios para archivar archivos en Windows, así como para tratar la compresión y extracción, mientras que TrueCrypt es una herramienta de cifrado sobre la marcha descontinuada. StrongPity apunta a las computadoras disfrazándose como un instalador de dicho software y obteniendo el control total. También puede intentar robar archivos, corromperlos o incluso descargar nuevos módulos en la máquina..
El malware se ha observado en lugares de todo el mundo, incluidos Turquía, el norte de África y el Medio Oriente y, según Kaspersky Lab, las principales ubicaciones donde reside este código infectado se encuentran en Italia y Bélgica. La estrategia que usan los atacantes para engañar a los usuarios es reemplazar dos letras transpuestas en sus nombres de dominio y mantener su URL lo más cerca posible del sitio de instalación auténtico. El enlace del archivo del instalador se redirige al sitio legítimo del distribuidor de WinRAR y esto es solo el frente de WinRAR.
En la imagen a continuación, podrá ver un botón azul que hemos resaltado que redirige a los usuarios a 'ralrab [.] Com' y lleva a las víctimas a sitios de software corruptos y, en algunos casos (uno de los cuales se registró en Italia) donde los usuarios no fueron dirigidos a sitios web falsos sino al propio malware StrongPity.
“Los datos de Kaspersky Lab revelan que en el transcurso de una sola semana, el malware entregado desde el sitio del distribuidor en Italia apareció en cientos de sistemas en toda Europa y África del Norte / Medio Oriente, con muchas más infecciones probables”, dijo la firma. “Durante todo el verano, Italia (87 por ciento), Bélgica (5 por ciento) y Argelia (4 por ciento) fueron los más afectados. La geografía de las víctimas del sitio infectado en Bélgica fue similar, y los usuarios en Bélgica representaron la mitad (54 por ciento) de más de 60 accesos exitosos ".
Aparte de eso, el malware también estaba dirigiendo a los usuarios a páginas web engañosas y corruptas en lugar del instalador del software TrueCrypt. Aunque muchos de los enlaces WinRAR contaminados se han eliminado, todavía quedan algunos instaladores de TrueCrypt como sugiere el informe de septiembre de Kapersky Labs. Los desarrollos de TrueCrypt se suspendieron a partir de mayo de 2014 después de que Microsoft abandonara Windows XP.
Kurt Baumgartner, el principal investigador de seguridad de Kaspersky Lab, compara los ataques StrongPity con Crouching Yeti / Energetic Bear que tomaron el control e infectaron sitios web de distribución de software auténticos. Se refiere a esta tendencia como "no deseada y peligrosa" y dice que debe abordarse de inmediato..
“Estas tácticas son una tendencia peligrosa y no deseada que la industria de la seguridad debe abordar. La búsqueda de la privacidad y la integridad de los datos no debe exponer a una persona a daños ofensivos en un pozo de agua. Los ataques a pozos de agua son intrínsecamente imprecisos y esperamos estimular el debate sobre la necesidad de una verificación más fácil y mejorada de la entrega de herramientas de cifrado ". dijo Kurt Baumgartner.
Lo máximo que podemos hacer es mantener a nuestros usuarios actualizados y aconsejarles que sean inteligentes y cautelosos al instalar las utilidades, ya que pueden contener enlaces engañosos. El malware destructivo como StrongPity puede convertir fácilmente su PC en una máquina dañada.
- StrongPity
- truecrypt
- winrar
