Occhio a StrongPity, il malware che si insidia in WinRAR e TrueCrypt

Occhio a StrongPity, il malware che si insidia in WinRAR e TrueCrypt

Un pericoloso malware si cela su alcuni programmi di installazione di software legittimi scaricati da siti non legittimi

di Nino Grasso pubblicata il , alle 15:01 nel canale Sicurezza
Kaspersky
 

Un nuovo ceppo di malware è stato scoperto da Kaspersky Lab. Viene identificato con il nome StrongPity e vede nelle sue vittime potenziali chi è alla ricerca di programmi legittimi come WinRAR, celebre software per la compressione e l'archiviazione di file, o TrueCrypt, strumento crittografico ormai dismesso. StrongPity è stato avvistato soprattutto in Italia e Belgio, e consente di offrire all'aggressore il controllo completo del computer infetto al fine di rubare parte del contenuto dei dischi e programmi.

Il malware si trova principalmente all'interno di installer contraffatti dei programmi sopra menzionati, scaricabili da siti web preparati ad-hoc e illegittimi con nomi simili a quelli ufficiali per ingannare le potenziali vittime. Adesso eliminati, i link di download di questi portali (ad esempio ralrab.com su cui veniva effettuato il redirect da winrar.it) conducevano all'installazione del software malevolo con conseguente infezione del computer. Cliccando sul link presente sul "distributore certificato" winrar.it si indirizzava il browser verso ralrab.com e il contenuto contraffatto. Diversa la storia per TrueCrypt, i cui link infetti sono ancora in circolazione e potenzialmente pericolosi anche via alcuni popolari siti di software sharing.

"Le tecniche impiegate da questa minaccia sono piuttosto intelligenti", ha dichiarato Kurt Baumgartner, ricercatore di sicurezza di Kaspersky Lab. "Ricordano l'approccio intrapreso ad inizio 2014 da Crouching Yeti/Energetic Bear, che installava trojan attraverso installer di software legittimi compromettendo siti di distribuzione genuini. Queste tattiche rappresentano una tendenza sgradevole e pericolosa che l'industria della sicurezza informatica deve sistemare. La ricerca per l'integrità dei dati e la privacy non dovrebbe esporre un individuo a danni personali, e speriamo di stimolare la discussione sulla necessità di strumenti crittografici migliori e semplificati".

Un ulteriore approfondimento può essere trovato a questo indirizzo, sul sito ufficiale di Kaspersky. La vulnerabilità sugli installer di WinRAR è stata avvistata questa estate a partire dal mese di maggio soprattutto in Italia con l'87% dei casi di infezione. Per quanto riguarda TrueCrypt, invece, la stragrande maggioranza dei casi appartiene alla Turchia (95%), con alcuni siti ancora attivi alla fine del mese di settembre. Gli attacchi cosiddetti "waterhole" possono comunque essere altamente pericolosi, e in ogni caso è sempre bene assicurarsi sull'attendibilità dei siti su cui si viene indirizzati prima di lanciare un download.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

28 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
tibbs7112 Ottobre 2016, 15:10 #1
Insidia? Insedia..
luki12 Ottobre 2016, 16:40 #2
Una cosa non mi è chiara: siccome non ricordo quando ho installato winrar, come faccio a sapere se ho installato una versione infetta?
Il mio pc non ha comportamenti strani, ma nel dubbio l'ho disinstallato e reinstallato dal sito winrar.it.
maxnaldo12 Ottobre 2016, 16:45 #3
Originariamente inviato da: luki
Una cosa non mi è chiara: siccome non ricordo quando ho installato winrar, come faccio a sapere se ho installato una versione infetta?
Il mio pc non ha comportamenti strani, ma nel dubbio l'ho disinstallato e reinstallato dal sito winrar.it.


"Adesso eliminati, i link di download di questi portali (ad esempio ralrab.com su cui veniva effettuato il redirect da winrar.it) conducevano all'installazione del software malevolo con conseguente infezione del computer."

EmBo212 Ottobre 2016, 16:59 #4
Originariamente inviato da: luki
Una cosa non mi è chiara: siccome non ricordo quando ho installato winrar, come faccio a sapere se ho installato una versione infetta?
Il mio pc non ha comportamenti strani, ma nel dubbio l'ho disinstallato e reinstallato dal sito winrar.it.


Se si installa dal sito ufficiale (raRlab.com invece di raLrab.com) non c'e' nessun problema.
Ryddyck12 Ottobre 2016, 18:41 #5
Il distributore belga reinderizzava al sito creato appositamente, quello italiano possedeva direttamente la copia infetta.

To trap victims, the attackers built fraudulent websites. In one instance, they transposed two letters in a domain name to fool customers into thinking it was a legitimate installer site for WinRAR software. They then placed a prominent link to this malicious domain on a WinRAR distributor site in Belgium in order to lead unsuspecting users to their poisoned installer. Kaspersky Lab first detected a successful redirection on May 28th, 2016.

At almost the same time, on May 24th, Kaspersky Lab began to spot activity on an Italian WinRAR distributor site. In this instance, however, users were not redirected to a fraudulent website, but were served the malicious StrongPity installer directly from the distributor site.

StrongPity also directed visitors from popular software-sharing sites to its trojanized TrueCrypt installers. This activity was still ongoing at the end of September.

The malicious links from the WinRAR distributor sites have now been removed, but at the end of September the fraudulent TrueCrypt site was still up.

http://usa.kaspersky.com/about-us/p...reat_StrongPity
luki12 Ottobre 2016, 20:00 #6
Originariamente inviato da: EmBo2
Se si installa dal sito ufficiale (raRlab.com invece di raLrab.com) non c'e' nessun problema.


La mia domanda era un'altra.

Dal sito italiano non c'era modo di capire se si stava scaricando il file infetto o no perchè è stato hackerato sostituendo direttamente il file sul server per il download diretto.
luki12 Ottobre 2016, 20:01 #7
Originariamente inviato da: maxnaldo
"Adesso eliminati, i link di download di questi portali (ad esempio ralrab.com su cui veniva effettuato il redirect da winrar.it) conducevano all'installazione del software malevolo con conseguente infezione del computer."



Se si scaricava dal sito italiano non c'era modo di capire se si stava scaricando il file infetto o no.
Ryddyck12 Ottobre 2016, 21:04 #8
Penso che la risposta sia "dipende".
Visto che utilizzo da tempo winrar, ho sempre aggiornato le varie versioni scaricandolo dal sito italiano. L'ultima versione 5.40 che ho salvato sul mio hdd (risalente al 18/09/2016, sia 64bit che 32bit) corrisponde esattamente a quella presente attualmente sul sito, ha lo stesso md5 e sha1.
Il discorso ovviamente cambia se si è in possesso di una versione più vecchia ed infetta (non credo che il gruppo abbia avuto la prontezza di cambiare la versione 5.40 non appena uscita), le varie release in inglese sono datate:
- la 5.40 il 16.08.2016 preceduta da quattro beta;
- la 5.31 il 04.02.2016 preceduta da una beta;
- la 5.30 il 24.11.2015 preceduta da sei beta;
- la 5.21 il 15.02.2015 preceduta da due beta;
- la 5.20 uscita il 02.12.2014 e direi che si ci possa fermare qui.

Collegando il tutto all'analisi condotta da kaspersky risalente a maggio, molto probabilmente le versioni infette sicuramente riguardano la 5.30/5.31 e le varie beta della 5.40.
Zenida12 Ottobre 2016, 21:33 #9
OK, ma ad oggi, se qualcuno vuole togliersi il dubbio, ha modo di verificare se il proprio PC è affetto da StrongPity?

Io ho KIS 2017 installato, dite che sia in grado di dirmi se il PC è stato compromesso?
maxnaldo12 Ottobre 2016, 22:33 #10
Originariamente inviato da: luki
Se si scaricava dal sito italiano non c'era modo di capire se si stava scaricando il file infetto o no.


ok, stavo scherzando, era solo una battuta vista la news

io comunque consiglierei sempre di andare alla fonte originale dei softwares, al sito ufficiale, perchè quelli italiani possono sempre essere gestiti alla meno peggio da chi mira a far soldi e non capisce un'acca di sicurezza informatica.

se cerchi un software vai sempre sul sito ufficiale di chi lo produce. Non è detto che tu sia al sicuro al 100% nemmeno lì, ma almeno non rischi di abbassare inutilmente la percentuale.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^