L’equip de seguretat de Kaspersky Lab va topar amb un nou malware descobert anomenat StrongPity que presumptament corromp els fitxers legítims WinRAR i TrueCrypt.

WinRAR és un dels millors serveis per arxivar fitxers a Windows, a més de tractar la compressió i l’extracció, mentre que TrueCrypt és una eina de xifratge continuada. StrongPity s’orienta a les computadores disfressant-se d’instal·lador del programari i obtenint un control total. També pot intentar robar fitxers, corrompre’ls o, fins i tot, descarregar mòduls nous a la màquina.

El programari maliciós s’ha observat a ubicacions de tot el món, com ara Turquia, el nord d’Àfrica i l’Orient Mitjà i, segons Kaspersky Lab, les principals ubicacions d’aquest resideix del codi infectat es troben a Itàlia i Bèlgica. L’estratègia que fan els atacants per enganyar els usuaris és substituir dues lletres transposades en els seus noms de domini i mantenir la seva URL el més a prop possible del lloc d’instal·lador autèntic. A continuació, es redirigeix ​​l'enllaç de fitxer de l'instal·lador al lloc de distribuïdor legítim de WinRAR i només es troba el front de WinRAR.

A la imatge de sota, podreu marcar un botó blau que hem destacat que reverteix els usuaris a "ralrabcom" fent víctimes a llocs de programari corromput, i en alguns casos (un dels quals es va registrar a Itàlia) on els usuaris no ho eren dirigit a llocs web descarats però al propi malware StrongPity

"Les dades de Kaspersky Lab revelen que en el transcurs d'una setmana, el programari maliciós del lloc distribuïdor a Itàlia va aparèixer a centenars de sistemes de tot Europa i el nord d'Àfrica / Orient Mitjà, amb moltes més infeccions probables", va dir la firma. “Durant tot l'estiu, Itàlia (87 per cent), Bèlgica (5 per cent) i Algèria (4%) van ser més afectades. La geografia de la víctima del lloc infectat a Bèlgica va ser similar, i els usuaris a Bèlgica representaven la meitat (el 54 per cent) dels més de 60 cops aconseguits."

A part d’això, segons el programa, el programari maliciós dirigia els usuaris a pàgines web enganyoses i corruptes en lloc del programari d’instal·lador de programari TrueCrypt. Tot i que s’han eliminat molts dels enllaços WinRAR contaminats, encara queden alguns instal·ladors TrueCrypt tal com suggereix l’informe de setembre de Kapersky Labs. Els desenvolupaments per a TrueCrypt es van suspendre a partir del maig de 2014 després que Microsoft abandonés Windows XP.

Kurt Baumgartner, el principal investigador en seguretat del Kaspersky Lab, compara StrongPity amb els atacs de Crouching Yeti / Energetic Bear que van agafar el control i van infectar llocs web de distribució de programari autèntics. Es refereix a aquesta tendència com a "poc desitjada i perillosa" i diu que s'ha d'abordar immediatament.

"Aquestes tàctiques són una tendència desagradable i perillosa que ha de fer front a la indústria de la seguretat. La cerca de privadesa i la integritat de les dades no ha d’exposar a un individu a danys ofensius dels aiguats. Els atacs a la perfecció hidràulica són inherentment imprecisos i esperem estimular la discussió sobre la necessitat d’una verificació més fàcil i millorada de l’entrega d’eines de xifratge ”, va dir Kurt Baumgartner.

El més que podem fer és mantenir actualitzats els nostres usuaris i aconsellar-los que siguin intel·ligents i prudents alhora d’instal·lar utilitats ja que podrien contenir enllaços enganyosos. El programari maliciós destructiu com StrongPity pot convertir el vostre ordinador en una màquina danyada.