Strongpityマルウェアが正当なWinrar、Truecryptインストーラーを破損
Kaspersky Labのセキュリティチームは、正当なWinRARおよびTrueCryptファイルを破損するとされる、StrongPityと呼ばれる新たに発見されたマルウェアに出会いました。
TrueRryptは廃止されたオンザフライ暗号化ツールであるのに対し、WinRARはWindowsでのファイルのアーカイブと圧縮および抽出の処理に最適なサービスの1つです。 StrongPityは、前述のソフトウェアのインストーラーとして自分自身を偽装し、完全に制御することにより、コンピューターを標的にします。 また、ファイルを盗んだり、破損させたり、マシンに新しいモジュールをダウンロードしようとすることもあります。
マルウェアは、トルコ、北アフリカ、中東など世界中の場所で観察されており、Kaspersky Labによると、この感染したコードが存在する主な場所はイタリアとベルギーです。 攻撃者がユーザーをだます戦略は、ドメイン名の2つの転置された文字を置き換え、URLを本物のインストーラーサイトにできるだけ近づけることです。 インストーラーのファイルリンクは、正当なWinRARディストリビューターサイトにリダイレクトされます。これは、WinRARの最前線です。
下の画像では、ユーザーを「ralrabcom」に再ルーティングして、破損したソフトウェアサイトへの被害者を送り、場合によってはユーザーのいない場所(イタリアで記録されたもの)を強調表示した青色のボタンを見つけることができます偽のWebサイトに向けられていますが、StrongPityマルウェア自体に向けられています。
「Kaspersky Labのデータは、1週間の間にイタリアのディストリビューターサイトから配信されたマルウェアがヨーロッパおよび北アフリカ/中東の何百ものシステムに出現し、さらに多くの感染が発生した可能性があることを示しています」 「夏全体で、イタリア(87%)、ベルギー(5%)、アルジェリア(4%)が最も影響を受けました。 ベルギーの感染サイトからの被害者の地理は類似しており、ベルギーのユーザーは60以上のヒットの半分(54%)を占めています。」
それとは別に、マルウェアはTrueCryptソフトウェアインストーラーではなく、欺de的で破損したWebページにユーザーを誘導していたと伝えられています。 汚染されたWinRARリンクの多くは削除されましたが、Kapersky Labsの9月のレポートで示唆されているように、TrueCryptインストーラーがいくつか残っています。 TrueCryptの開発は、MicrosoftがWindows XPを放棄したため、2014年5月から中止されました。
Kaspersky Labの主任セキュリティ研究者であるKurt Baumgartnerは、StrongPityを、本物のソフトウェア配布Webサイトを乗っ取り感染させたCrouching Yeti / Energetic Bear攻撃と比較しています。 彼はこの傾向を「歓迎されない危険なもの」と呼び、すぐに対処しなければならないと言います。
「これらの戦術は、セキュリティ業界が対処する必要がある歓迎されない危険な傾向です。 プライバシーとデータの整合性の検索は、個人を攻撃的なウォーターホールの損傷にさらすべきではありません。 ウォーターホール攻撃は本質的に不正確であり、暗号化ツール配信のより簡単で改善された検証の必要性に関する議論を促進したいと考えています。」とカートバウムガルトナーは述べています。
私たちにできることは、ユーザーを最新の状態に保ち、不正なリンクが含まれている可能性があるため、ユーティリティをインストールする際には賢く慎重になるようアドバイスすることです。 StrongPityのような破壊的なマルウェアは、PCを簡単に破損したマシンに変える可能性があります。