Occhio a StrongPity, il malware che si insidia in WinRAR e TrueCrypt
Un pericoloso malware si cela su alcuni programmi di installazione di software legittimi scaricati da siti non legittimi
di Nino Grasso pubblicata il 12 Ottobre 2016, alle 15:01 nel canale SicurezzaKaspersky
Un nuovo ceppo di malware è stato scoperto da Kaspersky Lab. Viene identificato con il nome StrongPity e vede nelle sue vittime potenziali chi è alla ricerca di programmi legittimi come WinRAR, celebre software per la compressione e l'archiviazione di file, o TrueCrypt, strumento crittografico ormai dismesso. StrongPity è stato avvistato soprattutto in Italia e Belgio, e consente di offrire all'aggressore il controllo completo del computer infetto al fine di rubare parte del contenuto dei dischi e programmi.
Il malware si trova principalmente all'interno di installer contraffatti dei programmi sopra menzionati, scaricabili da siti web preparati ad-hoc e illegittimi con nomi simili a quelli ufficiali per ingannare le potenziali vittime. Adesso eliminati, i link di download di questi portali (ad esempio ralrab.com su cui veniva effettuato il redirect da winrar.it) conducevano all'installazione del software malevolo con conseguente infezione del computer. Cliccando sul link presente sul "distributore certificato" winrar.it si indirizzava il browser verso ralrab.com e il contenuto contraffatto. Diversa la storia per TrueCrypt, i cui link infetti sono ancora in circolazione e potenzialmente pericolosi anche via alcuni popolari siti di software sharing.
"Le tecniche impiegate da questa minaccia sono piuttosto intelligenti", ha dichiarato Kurt Baumgartner, ricercatore di sicurezza di Kaspersky Lab. "Ricordano l'approccio intrapreso ad inizio 2014 da Crouching Yeti/Energetic Bear, che installava trojan attraverso installer di software legittimi compromettendo siti di distribuzione genuini. Queste tattiche rappresentano una tendenza sgradevole e pericolosa che l'industria della sicurezza informatica deve sistemare. La ricerca per l'integrità dei dati e la privacy non dovrebbe esporre un individuo a danni personali, e speriamo di stimolare la discussione sulla necessità di strumenti crittografici migliori e semplificati".
Un ulteriore approfondimento può essere trovato a questo indirizzo, sul sito ufficiale di Kaspersky. La vulnerabilità sugli installer di WinRAR è stata avvistata questa estate a partire dal mese di maggio soprattutto in Italia con l'87% dei casi di infezione. Per quanto riguarda TrueCrypt, invece, la stragrande maggioranza dei casi appartiene alla Turchia (95%), con alcuni siti ancora attivi alla fine del mese di settembre. Gli attacchi cosiddetti "waterhole" possono comunque essere altamente pericolosi, e in ogni caso è sempre bene assicurarsi sull'attendibilità dei siti su cui si viene indirizzati prima di lanciare un download.
La rivoluzione dei dati in tempo reale è in arrivo. Un assaggio a Confluent Current 2025
SAP Sapphire 2025: con Joule l'intelligenza artificiale guida app, dati e decisioni
Dalle radio a transistor ai Micro LED: il viaggio di Hisense da Qingdao al mondo intero
ASRock ammette i problemi del BIOS, ma pare che non si assumerà la responsabilità per le CPU danneggiate
Elon Musk annuncia i nuovi piani per la colonizzazione di Marte grazie a SpaceX Starship
Mafia: The Old Country in azione in un video commentato dagli sviluppatori
Pulizie automatiche e senza grovigli: Roborock QV 35A è oggi in sconto super, ecco come comprarlo a 474€
Cybersecurity: così CrowdStrike protegge l'AI Factory di NVIDIA
Rotterdam mette alla prova Artemis EF-12: prima imbarcazione elettrica per pattugliamento entra in servizio
MSI MPG X870I Edge TI WiFi: la motherboard ITX che si sente una E-ATX
Download.it salva FilePlanet: oltre 120.000 file storici del gaming tornano online
WhatsApp sta per introdurre gli username: addio al numero di telefono visibile
Successo per il primo test della PEC europea tra Aruba e Asseco
Cosa cambia con la partnership fra Pure Storage e Nutanix? Ce lo spiega Maciej Kranz, General Manager, Enterprise di Pure Storage
Sony abbandona la produzione interna degli smartphone: cosa cambia per gli utenti Xperia?
Il futuro degli aerei elettrici passa per il sodio: il MIT svela una fuel cell tre volte più efficiente delle batterie agli ioni di litio
Sentenza blocca i dazi di Trump: "Il Presidente ha superato i suoi poteri". Ma per poco
28 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoIl mio pc non ha comportamenti strani, ma nel dubbio l'ho disinstallato e reinstallato dal sito winrar.it.
Il mio pc non ha comportamenti strani, ma nel dubbio l'ho disinstallato e reinstallato dal sito winrar.it.
"Adesso eliminati, i link di download di questi portali (ad esempio ralrab.com su cui veniva effettuato il redirect da winrar.it) conducevano all'installazione del software malevolo con conseguente infezione del computer."
Il mio pc non ha comportamenti strani, ma nel dubbio l'ho disinstallato e reinstallato dal sito winrar.it.
Se si installa dal sito ufficiale (raRlab.com invece di raLrab.com) non c'e' nessun problema.
At almost the same time, on May 24th, Kaspersky Lab began to spot activity on an Italian WinRAR distributor site. In this instance, however, users were not redirected to a fraudulent website, but were served the malicious StrongPity installer directly from the distributor site.
StrongPity also directed visitors from popular software-sharing sites to its trojanized TrueCrypt installers. This activity was still ongoing at the end of September.
The malicious links from the WinRAR distributor sites have now been removed, but at the end of September the fraudulent TrueCrypt site was still up.
http://usa.kaspersky.com/about-us/p...reat_StrongPity
La mia domanda era un'altra.
Dal sito italiano non c'era modo di capire se si stava scaricando il file infetto o no perchè è stato hackerato sostituendo direttamente il file sul server per il download diretto.
Se si scaricava dal sito italiano non c'era modo di capire se si stava scaricando il file infetto o no.
Visto che utilizzo da tempo winrar, ho sempre aggiornato le varie versioni scaricandolo dal sito italiano. L'ultima versione 5.40 che ho salvato sul mio hdd (risalente al 18/09/2016, sia 64bit che 32bit) corrisponde esattamente a quella presente attualmente sul sito, ha lo stesso md5 e sha1.
Il discorso ovviamente cambia se si è in possesso di una versione più vecchia ed infetta (non credo che il gruppo abbia avuto la prontezza di cambiare la versione 5.40 non appena uscita), le varie release in inglese sono datate:
- la 5.40 il 16.08.2016 preceduta da quattro beta;
- la 5.31 il 04.02.2016 preceduta da una beta;
- la 5.30 il 24.11.2015 preceduta da sei beta;
- la 5.21 il 15.02.2015 preceduta da due beta;
- la 5.20 uscita il 02.12.2014 e direi che si ci possa fermare qui.
Collegando il tutto all'analisi condotta da kaspersky risalente a maggio, molto probabilmente le versioni infette sicuramente riguardano la 5.30/5.31 e le varie beta della 5.40.
Io ho KIS 2017 installato, dite che sia in grado di dirmi se il PC è stato compromesso?
ok, stavo scherzando, era solo una battuta vista la news
io comunque consiglierei sempre di andare alla fonte originale dei softwares, al sito ufficiale, perchè quelli italiani possono sempre essere gestiti alla meno peggio da chi mira a far soldi e non capisce un'acca di sicurezza informatica.
se cerchi un software vai sempre sul sito ufficiale di chi lo produce. Non è detto che tu sia al sicuro al 100% nemmeno lì, ma almeno non rischi di abbassare inutilmente la percentuale.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".