Utilizatorii care caută să descarce de pe internet programe precum WinRAR și TrueCrypt pot deveni victime ale grupării de atacatori cibernetici StrongPity, deja fiind semnalate cazuri în Italia, Belgia, Turcia, Africa de Nord și Orientul Mijlociu, potrivit concluziilor unei lucrări prezentate în Virus Bulletin de cercetătorul Kaspersky Lab Kurt Baumgartner. Conform sursei citate, StrongPity este o grupare de tip APT (Advanced Persistent Threat), care dispune de tehnici avansate, fiind interesată de informațiile și mesajele criptate. "În ultimele câteva luni, Kaspersky Lab a observat o creștere semnificativă a atacurilor împotriva utilizatorilor care caută două programe cunoscute de criptare: WinRAR și sistemul TrueCrypt. Programul malware StrongPity include componente care le dau atacatorilor control deplin asupra sistemului victimei, permițându-le să fure conținut de pe hard disk și să descarce module suplimentare pentru a strânge mesaje și contacte. Kaspersky Lab a detectat, până în acest moment, vizite către site-uri StrongPity și prezența unor componente StrongPity în peste 1.000 de sisteme vizate", notează un comunicat de presă al Kaspersky Lab.

Specialiștii explică faptul că, pentru a prinde victimele în capcană, atacatorii au creat site-uri false, iar într-un caz au inversat două litere în numele unui domeniu, pentru a-i păcăli pe clienți să creadă că este un site legitim, de unde pot instala programul WinRAR. Ulterior, au plasat un link foarte vizibil către un domeniu malware, aflat pe un site din Belgia, aparent, înlocuind link-ul recomandat de site cu link-ul malware. Atunci când vizitatorii intrau pe acel site, îi conducea la sursa compromisă StrongPity. "Prima detecție făcută de Kaspersky Lab a unei redirecționări reușite a fost pe 28 mai 2016. Aproape în același timp, pe 24 mai, Kaspersky Lab a început să detecteze activitate malware pe un site din Italia, de unde se putea descărca WinRAR. În acest caz, însă, utilizatorii nu erau redirecționați către un alt site compromis, ci erau infectați cu StrongPity direct de pe primul site. De asemenea, StrongPity a direcționat vizitatorii de pe site-uri unde sunt puse la dispoziție programe populare, către site-ul infectat TrueCrypt. Gruparea este activă încă la sfârșitul lunii septembrie. Link-urile malware de pe site-urile care puneau la dispoziția utilizatorilor programul WinRAR au fost îndepărtate, dar la finalul lunii septembrie site-ul fraudulos TrueCrypt era încă funcțional", atenționează experții Kaspersky Lab.

Datele companiei arată că, pe parcursul unei singure săptămâni, programele malware "livrate" de site-ul din Italia au apărut pe sute de sisteme din Europa și Africa de Nord sau Orientul Mijlociu, existând posibilitatea unui număr mult mai mare de infectări.

Țările cele mai afectate de aceste atacuri, pe parcursul acestei veri, au fost Italia (în proporție de 87%), Belgia (5%) și Algeria (4%). De asemenea, în mod similar, în cazul site-ului infectat din Belgia, utilizatorii de aici au reprezentat jumătate (54%) din peste 60 de atacuri de succes. În plus, atacurile asupra utilizatorilor, realizate prin intermediul site-ului fals TrueCrypt, s-au intensificat în mai 2016, iar 95% dintre victime au fost localizate în Turcia.

Kaspersky Lab este o companie globală de securitate cibernetică, fondată în 1997, ce protejează cibernetic peste 400 de milioane de utilizatori individuali, precum și 270.000 de companii-client.