Nhóm bảo mật của Kaspersky Lab tình cờ phát hiện ra một phần mềm độc hại mới được phát hiện có tên StrongPity bị cáo buộc làm hỏng các tệp WinRAR và TrueCrypt hợp pháp.

WinRAR là một trong những dịch vụ tốt nhất để lưu trữ các tệp trên Windows cũng như xử lý nén và trích xuất trong khi TrueCrypt là một công cụ mã hóa đang hoạt động. StrongPity nhắm mục tiêu vào máy tính bằng cách ngụy trang thành trình cài đặt cho phần mềm đã nói và giành toàn quyền kiểm soát. Nó cũng có thể cố gắng đánh cắp các tập tin, làm hỏng chúng hoặc thậm chí tải xuống các mô-đun mới trên máy.

Phần mềm độc hại đã được quan sát thấy ở các địa điểm trên khắp thế giới bao gồm Thổ Nhĩ Kỳ, Bắc Phi và Trung Đông và, theo Kaspersky Lab, các vị trí chính mà đoạn mã bị nhiễm này nằm ở Ý và Bỉ. Kẻ tấn công chiến lược sử dụng để đánh lừa người dùng đang thay thế hai chữ cái được chuyển đổi trong tên miền của họ và giữ URL của họ càng gần càng tốt với trang web cài đặt xác thực. Liên kết tệp của trình cài đặt sau đó được chuyển hướng đến trang phân phối WinRAR hợp pháp và đây chỉ là mặt trước của WinRAR.

Trong hình ảnh bên dưới, bạn sẽ có thể phát hiện ra một nút màu xanh mà chúng tôi đã nhấn mạnh, điều này sẽ khiến người dùng 'ralrabcom' đưa nạn nhân đến các trang web phần mềm bị hỏng và trong một số trường hợp (một trong số đó đã được ghi ở Ý) hướng đến các trang web giả mạo nhưng đến phần mềm độc hại StrongPity.

Dữ liệu của Kaspersky Kaspersky Lab tiết lộ rằng trong một tuần, phần mềm độc hại được phân phối từ trang phân phối ở Ý đã xuất hiện trên hàng trăm hệ thống trên khắp châu Âu và Bắc Phi / Trung Đông, với nhiều khả năng bị nhiễm trùng hơn, công ty cho biết. Trong suốt mùa hè, Ý (87%), Bỉ (5%) và Algeria (4%) bị ảnh hưởng nhiều nhất. Địa lý nạn nhân từ trang bị nhiễm bệnh ở Bỉ cũng tương tự, với người dùng ở Bỉ chiếm một nửa (54%) trong số hơn 60 lượt truy cập thành công.

Ngoài ra, phần mềm độc hại cũng được cho là hướng người dùng đến các trang web lừa đảo, tham nhũng thay vì trình cài đặt phần mềm TrueCrypt. Mặc dù nhiều liên kết WinRAR đã bị xóa đã bị xóa nhưng vẫn còn một số trình cài đặt TrueCrypt như đề xuất trong báo cáo tháng 9 của Kapersky Labs. Các phát triển cho TrueCrypt đã bị ngừng từ tháng 5 năm 2014 sau khi Microsoft từ bỏ Windows XP.

Kurt Baumgartner, nhà nghiên cứu bảo mật chính tại Kaspersky Lab, so sánh StrongPity với các cuộc tấn công của Crouched Yeti / Energetic Bear đã tiếp quản và lây nhiễm các trang web phân phối phần mềm xác thực. Ông nói đến xu hướng này là những người không mong muốn và nguy hiểm, và nói rằng nó phải được giải quyết ngay lập tức.

Những chiến thuật này là một xu hướng không mong muốn và nguy hiểm mà ngành an ninh cần phải giải quyết. Việc tìm kiếm sự riêng tư và toàn vẹn dữ liệu không nên khiến một cá nhân bị thiệt hại do hố nước gây khó chịu. Các cuộc tấn công của hố nước vốn không chính xác và chúng tôi hy vọng sẽ thúc đẩy thảo luận xung quanh nhu cầu xác minh dễ dàng hơn và cải thiện việc cung cấp công cụ mã hóa.

Điều chúng ta có thể làm nhất là luôn cập nhật cho người dùng và khuyên họ nên thông minh và thận trọng trong khi cài đặt các tiện ích vì chúng có thể chứa các liên kết lừa đảo. Phần mềm độc hại hủy diệt như StrongPity có thể dễ dàng biến PC của bạn thành một máy bị hỏng.