Kaspersky Labs säkerhetsteam snubblat över en nyupptäckt skadlig programvara som heter StrongPity som påstås förstöra legitima WinRAR- och TrueCrypt-filer.

WinRAR är en av de bästa tjänsterna för arkivering av filer i Windows samt hantering av komprimering och extraktion medan TrueCrypt är ett avvecklat krypteringsverktyg on-the-fly. StrongPity riktar sig till datorer genom att dölja sig som en installerare för nämnda programvara och få full kontroll. Det kan också försöka stjäla filer, skada dem eller till och med ladda ner nya moduler på maskinen.

Det skadliga programmet har observerats på platser runt om i världen inklusive Turkiet, Nordafrika och Mellanöstern och enligt Kaspersky Lab är de viktigaste platserna som denna infekterade kodkod finns i Italien och Belgien. Den strategi som angriparna använder för att lura användare ersätter två transponerade bokstäver i deras domännamn och håller deras URL så nära den autentiska installationssidan som möjligt. Installationslänkens fillänk omdirigeras sedan till den legitima WinRAR-distributörens webbplats och detta är bara WinRAR-fronten.

På bilden nedan kan du se en blå knapp som vi har markerat vilka som omdirigerar användare till 'ralrabcom' för att ta offer till skadade mjukvarusajter, och i vissa fall (en av dem spelades in i Italien) där användare inte var riktad till skräppost webbplatser men till själva StrongPity skadlig programvara.

"Kaspersky Lab-data avslöjar att under en enda vecka visade skadlig programvara som levererats från distributörens webbplats i Italien på hundratals system i hela Europa och Nordafrika / Mellanöstern, med många fler infektioner sannolikt, " sade företaget. ”Under hela sommaren drabbades Italien (87 procent), Belgien (5 procent) och Algeriet (4 procent) mest. Offertgeografin från den infekterade platsen i Belgien var likadan, där användare i Belgien står för hälften (54 procent) av mer än 60 framgångsrika träffar. ”

Bortsett från detta ledde också skadlig programvara användarna till bedrägliga, korrupta webbsidor istället för TrueCrypt-programvaruinstallatören. Även om många av de besläktade WinRAR-länkarna har tagits bort finns det fortfarande vissa TrueCrypt-installatörer som föreslogs i Kapersky Labs septemberrapport. Utvecklingen för TrueCrypt avbröts från maj 2014 efter att Microsoft övergav Windows XP.

Kurt Baumgartner, den viktigaste säkerhetsforskaren på Kaspersky Lab, jämför StrongPity med Crouching Yeti / Energetic Bear-attacker som tog över och infekterade autentiska webbplatser för mjukvarudistribution. Han hänvisar till denna trend som ”ovälkommen och farlig” och säger att den måste tas omedelbart.

”Dessa taktiker är en ovälkommen och farlig trend som säkerhetsindustrin behöver ta itu med. Sökningen efter integritet och integritet bör inte utsätta en person för stötande vattenhålskador. Vattenhålattacker är i sig orimliga och vi hoppas kunna driva diskussioner kring behovet av enklare och förbättrad verifiering av leverans av krypteringsverktyg. ”Sa Kurt Baumgartner.

Det mest vi kan göra är att hålla våra användare uppdaterade och råda dem att vara smarta och försiktiga när de installerar verktyg eftersom de kan innehålla vilseledande länkar. Destruktiv skadlig programvara som StrongPity kan enkelt förvandla din dator till en skadad maskin.