Occhio a StrongPity, il malware che si insidia in WinRAR e TrueCrypt

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/sicurez...ypt_65078.html

Un pericoloso malware si cela su alcuni programmi di installazione di software legittimi scaricati da siti non legittimi

Click sul link per visualizzare la notizia.

[tibbs71]

Insidia? Insedia..

[luki]

Una cosa non mi è chiara: siccome non ricordo quando ho installato winrar, come faccio a sapere se ho installato una versione infetta?
Il mio pc non ha comportamenti strani, ma nel dubbio l'ho disinstallato e reinstallato dal sito winrar.it.

[maxnaldo]

Quote:

Originariamente inviato da luki

Una cosa non mi è chiara: siccome non ricordo quando ho installato winrar, come faccio a sapere se ho installato una versione infetta?
Il mio pc non ha comportamenti strani, ma nel dubbio l'ho disinstallato e reinstallato dal sito winrar.it.

"Adesso eliminati, i link di download di questi portali (ad esempio ralrab.com su cui veniva effettuato il redirect da winrar.it) conducevano all'installazione del software malevolo con conseguente infezione del computer."

[EmBo2]

Quote:

Originariamente inviato da luki

Una cosa non mi è chiara: siccome non ricordo quando ho installato winrar, come faccio a sapere se ho installato una versione infetta?
Il mio pc non ha comportamenti strani, ma nel dubbio l'ho disinstallato e reinstallato dal sito winrar.it.

Se si installa dal sito ufficiale (raRlab.com invece di raLrab.com) non c'e' nessun problema.

[Ryddyck]

Il distributore belga reinderizzava al sito creato appositamente, quello italiano possedeva direttamente la copia infetta.

Quote:

To trap victims, the attackers built fraudulent websites. In one instance, they transposed two letters in a domain name to fool customers into thinking it was a legitimate installer site for WinRAR software. They then placed a prominent link to this malicious domain on a WinRAR distributor site in Belgium in order to lead unsuspecting users to their poisoned installer. Kaspersky Lab first detected a successful redirection on May 28th, 2016.

At almost the same time, on May 24th, Kaspersky Lab began to spot activity on an Italian WinRAR distributor site. In this instance, however, users were not redirected to a fraudulent website, but were served the malicious StrongPity installer directly from the distributor site.

StrongPity also directed visitors from popular software-sharing sites to its trojanized TrueCrypt installers. This activity was still ongoing at the end of September.

The malicious links from the WinRAR distributor sites have now been removed, but at the end of September the fraudulent TrueCrypt site was still up.

http://usa.kaspersky.com/about-us/pr...eat_StrongPity

[luki]

Quote:

Originariamente inviato da EmBo2

Se si installa dal sito ufficiale (raRlab.com invece di raLrab.com) non c'e' nessun problema.

La mia domanda era un'altra.

Dal sito italiano non c'era modo di capire se si stava scaricando il file infetto o no perchè è stato hackerato sostituendo direttamente il file sul server per il download diretto.

[luki]

Quote:

Originariamente inviato da maxnaldo

"Adesso eliminati, i link di download di questi portali (ad esempio ralrab.com su cui veniva effettuato il redirect da winrar.it) conducevano all'installazione del software malevolo con conseguente infezione del computer."

Se si scaricava dal sito italiano non c'era modo di capire se si stava scaricando il file infetto o no.

[Ryddyck]

Penso che la risposta sia "dipende".
Visto che utilizzo da tempo winrar, ho sempre aggiornato le varie versioni scaricandolo dal sito italiano. L'ultima versione 5.40 che ho salvato sul mio hdd (risalente al 18/09/2016, sia 64bit che 32bit) corrisponde esattamente a quella presente attualmente sul sito, ha lo stesso md5 e sha1.
Il discorso ovviamente cambia se si è in possesso di una versione più vecchia ed infetta (non credo che il gruppo abbia avuto la prontezza di cambiare la versione 5.40 non appena uscita), le varie release in inglese sono datate:
- la 5.40 il 16.08.2016 preceduta da quattro beta;
- la 5.31 il 04.02.2016 preceduta da una beta;
- la 5.30 il 24.11.2015 preceduta da sei beta;
- la 5.21 il 15.02.2015 preceduta da due beta;
- la 5.20 uscita il 02.12.2014 e direi che si ci possa fermare qui.

Collegando il tutto all'analisi condotta da kaspersky risalente a maggio, molto probabilmente le versioni infette sicuramente riguardano la 5.30/5.31 e le varie beta della 5.40.

[Zenida]

OK, ma ad oggi, se qualcuno vuole togliersi il dubbio, ha modo di verificare se il proprio PC è affetto da StrongPity?

Io ho KIS 2017 installato, dite che sia in grado di dirmi se il PC è stato compromesso?

[maxnaldo]

Quote:

Originariamente inviato da luki

Se si scaricava dal sito italiano non c'era modo di capire se si stava scaricando il file infetto o no.

ok, stavo scherzando, era solo una battuta vista la news

io comunque consiglierei sempre di andare alla fonte originale dei softwares, al sito ufficiale, perchè quelli italiani possono sempre essere gestiti alla meno peggio da chi mira a far soldi e non capisce un'acca di sicurezza informatica.

se cerchi un software vai sempre sul sito ufficiale di chi lo produce. Non è detto che tu sia al sicuro al 100% nemmeno lì, ma almeno non rischi di abbassare inutilmente la percentuale.

[rockroll]

Quote:

Originariamente inviato da Ryddyck

Penso che la risposta sia "dipende".
Visto che utilizzo da tempo winrar, ho sempre aggiornato le varie versioni scaricandolo dal sito italiano. L'ultima versione 5.40 che ho salvato sul mio hdd (risalente al 18/09/2016, sia 64bit che 32bit) corrisponde esattamente a quella presente attualmente sul sito, ha lo stesso md5 e sha1.
Il discorso ovviamente cambia se si è in possesso di una versione più vecchia ed infetta (non credo che il gruppo abbia avuto la prontezza di cambiare la versione 5.40 non appena uscita), le varie release in inglese sono datate:
- la 5.40 il 16.08.2016 preceduta da quattro beta;
- la 5.31 il 04.02.2016 preceduta da una beta;
- la 5.30 il 24.11.2015 preceduta da sei beta;
- la 5.21 il 15.02.2015 preceduta da due beta;
- la 5.20 uscita il 02.12.2014 e direi che si ci possa fermare qui.

Collegando il tutto all'analisi condotta da kaspersky risalente a maggio, molto probabilmente le versioni infette sicuramente riguardano la 5.30/5.31 e le varie beta della 5.40.

Non capisco che bisogno ci sia di rischiare aggiornamenti di dubbia utilità su un programma che svolge fin dall'origine perfettamente il suo compito.
Io manco so che versioni ho di winrar, scaricate ed installate dalla notte dei tempi, e mi fanno tutto quel che devono; anzi vi dirò che io conservo una selezione di tutte le versioni passate stratestate e perfettamente funzionanti di qualunque SW, e quando per qualche motivo devo reinstallare, uso quelle e non vado a cercarmi problemi inutili; se poi ho tempo magari su un sistema di prova faccio le mie verifiche su SW più aggiornato, ma è un di più non necessario, se no nel caso in cui la nuova versione contenga nuove funzioni di cui ho veramente bisogno.

[maxnaldo]

Quote:

Originariamente inviato da rockroll

Non capisco che bisogno ci sia di rischiare aggiornamenti di dubbia utilità su un programma che svolge fin dall'origine perfettamente il suo compito.
Io manco so che versioni ho di winrar, scaricate ed installate dalla notte dei tempi, e mi fanno tutto quel che devono; anzi vi dirò che io conservo una selezione di tutte le versioni passate stratestate e perfettamente funzionanti di qualunque SW, e quando per qualche motivo devo reinstallare, uso quelle e non vado a cercarmi problemi inutili; se poi ho tempo magari su un sistema di prova faccio le mie verifiche su SW più aggiornato, ma è un di più non necessario, se no nel caso in cui la nuova versione contenga nuove funzioni di cui ho veramente bisogno.

io sinceramente non tengo proprio più nulla di archiviato.

decenni fa avevo il mio archivio di floppy disks con tutti i softwares che mi erano passati per le mani, ma oggi sinceramente è del tutto inutile.

anche fino a pochi anni fa tenevo in apposite cartelle sull'HD i vari setup dei softwares che usavo, e anche questo è ormai inutile.

oggi tutto quello che devi fare quando vuoi installare un software è andare sul sito del produttore e scaricartelo.

che senso ha tenersi il setup della versione che avevi scaricato uno o più anni fa ? E perchè installare quella se nel frattempo ne hanno rilasciate altre 50 con bug fix, patches di sicurezza e futures varie aggiunte ? Senza considerare poi i problemi di compatibilità che potresti avere dopo gli aggiornamenti dell'OS. O non aggiorni più nemmeno quello ? Insomma il tuo discorso va bene (per modo di dire) se sei rimasto ad un Windows95 e continui ad installarci i softwares di allora archiviati su un FD, fregandotene altamente di bugs e problemi di sicurezza.

alla fine il tuo discorso può ritorcertisi contro, per non avere problemi di sicurezza, come quelli di questa news, non aggiorni, ma non aggiornandoti è molto probabile che tu ti tenga sul tuo sistema delle versioni totalmente insicure per varie falle scoperte nel tempo e corrette nelle versioni successive.

[fascetta33]

Quote:

Originariamente inviato da Ryddyck

Penso che la risposta sia "dipende".
Visto che utilizzo da tempo winrar, ho sempre aggiornato le varie versioni scaricandolo dal sito italiano. L'ultima versione 5.40 che ho salvato sul mio hdd (risalente al 18/09/2016, sia 64bit che 32bit) corrisponde esattamente a quella presente attualmente sul sito, ha lo stesso md5 e sha1.
Il discorso ovviamente cambia se si è in possesso di una versione più vecchia ed infetta (non credo che il gruppo abbia avuto la prontezza di cambiare la versione 5.40 non appena uscita), le varie release in inglese sono datate:
- la 5.40 il 16.08.2016 preceduta da quattro beta;
- la 5.31 il 04.02.2016 preceduta da una beta;
- la 5.30 il 24.11.2015 preceduta da sei beta;
- la 5.21 il 15.02.2015 preceduta da due beta;
- la 5.20 uscita il 02.12.2014 e direi che si ci possa fermare qui.

Collegando il tutto all'analisi condotta da kaspersky risalente a maggio, molto probabilmente le versioni infette sicuramente riguardano la 5.30/5.31 e le varie beta della 5.40.

E' molto importante l'aiuto di tutti!!
Cerchiamo di risalire al range temporale in cui è stato presente sul sito ufficiale winrar.it l'exe infetto.

Le ultime copie meno recenti che ho sono:

- la versione WinRAR-x64-540b4it scaricata l'11/08/2016
Questa versione è correttamente signata da win.rar gmbh e dallo scan di VirusTotal non presenta alcuna infezione.

- la versione WinRAR-x64-540b2it scaricata il 23/06/2016
Questa versione NON è signata ma dallo scan di VirusTotal non presenta alcuna infezione.

Da una prima analisi e leggendo il report di kaspersky la versione corrotta sembra essere la 5.31 che era online sul sito ufficiale italiano nell'intorno del 24/05/2016, quindi quasi tutta la seconda metà del mese di Maggio.
Come dimostra anche un post datato 30/05/2016 di un utente su di un altro forum dove credevano si trattasse di un falso positivo, invece... :
_http://forum.html.it/forum/showthread.php?threadid=2939520

[DeMonViTo]

A questo punto diventa complesso anche per l'utente "esperto" non cadere in trappola visto che i siti "ufficiali" possono contenere installer con trojan.

Ora io ho sempre scaricato winrar da rarlab.com e quindi sono tranquillo.

Non ricordo dove ho scaricato truecrypt...

e non ho capito come rimuovere o controllare se sono infetto da Strongpity... Ho sempre avuto avast internet security (e non nego di aver fatto girare anche altri antivirus in questi mesi) ma mai trovato nulla di strano...

Aspetto news di qualche utente più informato di me...

[Ryddyck]

Quote:

Originariamente inviato da rockroll

Non capisco che bisogno ci sia di rischiare aggiornamenti di dubbia utilità su un programma che svolge fin dall'origine perfettamente il suo compito.
Io manco so che versioni ho di winrar, scaricate ed installate dalla notte dei tempi, e mi fanno tutto quel che devono; anzi vi dirò che io conservo una selezione di tutte le versioni passate stratestate e perfettamente funzionanti di qualunque SW, e quando per qualche motivo devo reinstallare, uso quelle e non vado a cercarmi problemi inutili; se poi ho tempo magari su un sistema di prova faccio le mie verifiche su SW più aggiornato, ma è un di più non necessario, se no nel caso in cui la nuova versione contenga nuove funzioni di cui ho veramente bisogno.

Il senso ce l'ha ed è relativo ai miglioramenti generali e risoluzione dei bug oltre a nuove funzioni http://www.rarlab.com/rarnew.htm

Quote:

Originariamente inviato da maxnaldo

io sinceramente non tengo proprio più nulla di archiviato.

decenni fa avevo il mio archivio di floppy disks con tutti i softwares che mi erano passati per le mani, ma oggi sinceramente è del tutto inutile.

anche fino a pochi anni fa tenevo in apposite cartelle sull'HD i vari setup dei softwares che usavo, e anche questo è ormai inutile.

oggi tutto quello che devi fare quando vuoi installare un software è andare sul sito del produttore e scaricartelo.

Dipende dal software, se ad esempio dovessi metterti lì ad aspettare a scaricare tutta la suite adobe che pesa una decina di GB sarebbe più utile averla già offline (ovviamente parliamo sempre di suite aggiornate una volta all'anno e che non pesano 3MB).

Quote:

Originariamente inviato da fascetta33

E' molto importante l'aiuto di tutti!!
Cerchiamo di risalire al range temporale in cui è stato presente sul sito ufficiale winrar.it l'exe infetto.

Le ultime copie meno recenti che ho sono:

- la versione WinRAR-x64-540b4it scaricata l'11/08/2016
Questa versione è correttamente signata da win.rar gmbh e dallo scan di VirusTotal non presenta alcuna infezione.

- la versione WinRAR-x64-540b2it scaricata il 23/06/2016
Questa versione NON è signata ma dallo scan di VirusTotal non presenta alcuna infezione.

Da una prima analisi e leggendo il report di kaspersky la versione corrotta sembra essere la 5.31 che era online sul sito ufficiale italiano nell'intorno del 24/05/2016, quindi quasi tutta la seconda metà del mese di Maggio.
Come dimostra anche un post datato 30/05/2016 di un utente su di un altro forum dove credevano si trattasse di un falso positivo, invece... :
_http://forum.html.it/forum/showthread.php?threadid=2939520

Buono a sapersi. Comunque ricontrollando la versione in mio possesso e quella presente sui server ufficiali, solamente baidu trova qualcosa su virustotal (nella versione italiana oltre baidu, rileva qualcosa anche yandex).
Comunque kaspersky (https://securelist.com/blog/research...ryption-users/) fa direttamente riferimento alla versione 5.31 come infetta, trovata sul sito appositamente creato ed i file sono datati 1 giugno 2016 (ultima modifica). Per la versione italiana si parla sempre della 5.31 ma contando il fatto che l'installer contraffatto fa riferimento a fine maggio molto probabilmente dalla data di uscita ufficiale della 5.31 (4/2/2016) a maggio 2016 gli installer non erano infetti. Comunque se si prova a scaricare una delle versioni infette verrete bloccati dal browser (quanto meno da firefox) e se avete un av decente vi segnala l'url malevolo.
Discorso diverso per truecrypt, la versione infetta si trovava fino a qualche giorno fa.

Quote:

Originariamente inviato da DeMonViTo

A questo punto diventa complesso anche per l'utente "esperto" non cadere in trappola visto che i siti "ufficiali" possono contenere installer con trojan.

Ora io ho sempre scaricato winrar da rarlab.com e quindi sono tranquillo.

Non ricordo dove ho scaricato truecrypt...

e non ho capito come rimuovere o controllare se sono infetto da Strongpity... Ho sempre avuto avast internet security (e non nego di aver fatto girare anche altri antivirus in questi mesi) ma mai trovato nulla di strano...

Aspetto news di qualche utente più informato di me...

Strongpity secondo kaspersky lascia sul disco alcuni file

Quote:

%temp%\procexp.exe
%temp%\sega\
nvvscv.exe
prst.cab
prst.dll
wndplyr.exe
wrlck.cab
wrlck.dll

oltre ad alcuni software

putty.exe (a windows SSH client)
filezilla.exe (supports ftps uploads)
winscp.exe (a windows secure copy application, providing encrypted and secure file transfer)
mstsc.exe (Windows Remote Desktop client, providing an encrypted connection to remote systems)
mRemoteNG.exe (a remote connections manager supporting SSH, RDP, and other encrypted protocols)

e keylogger vari.

[fascetta33]

Quote:

Originariamente inviato da Ryddyck

Per la versione italiana si parla sempre della 5.31 ma contando il fatto che l'installer contraffatto fa riferimento a fine maggio molto probabilmente dalla data di uscita ufficiale della 5.31 (4/2/2016) a maggio 2016 gli installer non erano infetti.

Il mese di Maggio è stato proprio il mese dell'infezione sia per il redirect del sito belga sia per l'exe corrotto del sito ufficiale italiano!
Quoto parte del comunicato kaspersky:

Quote:

StrongPity trojanized installers:
hxxps://www.winrar[.]it/prelievo/WinRAR-x64-531it.exe
hxxps://www.winrar[.]it/prelievo/WRar531it.exe
The site started serving these executables a couple of days earlier on 5/24, where a large majority of Italian visitors where affected.

A riprova questa mattina ho preso un vecchio pc dove installai la 5.31 il 21/04/2016 (non ho più l'installer) la macchina ha a bordo Nod32 V.9 che non rilevó (nel log non trovó nessuna minaccia nel mese di Aprile) e non rileva attualmente nulla sul sistema dopo uno scan completo.

[Emin001]

Quote:

Originariamente inviato da Ryddyck

Collegando il tutto all'analisi condotta da kaspersky risalente a maggio, molto probabilmente le versioni infette sicuramente riguardano la 5.30/5.31 e le varie beta della 5.40.

Forse le beta sono sicure, io ho la 5.40 beta 2(3/7/16) e non trovo sul disco nessuno dei file/cartella sotto riportati.

%temp%\procexp.exe
%temp%\sega\
nvvscv.exe
prst.cab
prst.dll
wndplyr.exe
wrlck.cab
wrlck.dll



Qualcuno che non usa nessun antivirus&Co. può battere un colpo? Come vi comportate in questi casi? Siete sempre sicuri di quello che scaricate?

Quote:

Originariamente inviato da DeMonViTo

Non ricordo dove ho scaricato truecrypt...

Scaricatelo da qui https://www.grc.com/misc/truecrypt/truecrypt.htm

[DeMonViTo]

Quote:

Originariamente inviato da Emin001

Forse le beta sono sicure, io ho la 5.40 beta 2(3/7/16) e non trovo sul disco nessuno dei file/cartella sotto riportati.

%temp%\procexp.exe
%temp%\sega\
nvvscv.exe
prst.cab
prst.dll
wndplyr.exe
wrlck.cab
wrlck.dll



Qualcuno che non usa nessun antivirus&Co. può battere un colpo? Come vi comportate in questi casi? Siete sempre sicuri di quello che scaricate?





Scaricatelo da qui https://www.grc.com/misc/truecrypt/truecrypt.htm

Io questi file non li ho, quando ho installato questi software avevo sicuramente Avast internet 2016.
Purtroppo Truecrypt essendo dismesso non ricordo dove l'ho scaricato, e questa cosa mi manda nei pazzi...

[Ryddyck]

Non saprei, dal sito contraffatto risultano le versioni 5.31 e poi una "wrar53b5.exe", potrebbe essere la 5.30 beta5?!
Comunque vedi se hai qualche file sospetto in giro, fai delle scansioni con hitmanpro, malwarebytes antimalware e magari anche l'antiransomware.

Per il resto kaspersky ha spiegato che si è avviato tutto a fine maggio, ma non ha specificato quando l'intrusione è scomparsa ed i file sono stati ripristinati (per la versione italiana, che poi riportino anche uno screenshot della pagina con la versione 5.40 sinceramente non so cosa pensare). Per il resto ho fatto l'unpacking dell'installer della 5.40 (la mia versione personale risalente a più di un mese fa, quella ufficiale da rarlab e quella del distributore locale), sembra tutto tranquillo (rispetto alle versioni 5.31, quelle infette dovrebbero pesare circa 700KB in più o almeno si capisce questo dal sito riportato).