A equipe de segurança da Kaspersky Lab encontrou um malware recém-descoberto chamado StrongPity, que supostamente corrompe arquivos legítimos do WinRAR e TrueCrypt.

O WinRAR é um dos melhores serviços para arquivar arquivos no Windows, além de lidar com compactação e extração, enquanto o TrueCrypt é uma ferramenta de criptografia descontinuada em tempo real. O StrongPity tem como alvo computadores disfarçando-se de instalador do referido software e ganhando controle total. Também pode tentar roubar arquivos, corrompê-los ou até mesmo baixar novos módulos na máquina.

O malware foi observado em locais em todo o mundo, incluindo Turquia, norte da África e Oriente Médio e, segundo a Kaspersky Lab, os principais locais em que esse código infectado reside estão na Itália e na Bélgica. A estratégia usada pelos invasores para enganar os usuários é substituir duas letras transpostas em seus nomes de domínio e manter sua URL o mais próximo possível do site de instalação autêntico. O link do arquivo do instalador é então redirecionado para o site legítimo do distribuidor WinRAR e esta é apenas a frente do WinRAR.

Na imagem abaixo, você poderá identificar um botão azul que destacamos que redireciona os usuários para 'ralrabcom' levando vítimas a sites de software corrompidos e, em alguns casos (um dos quais foi gravado na Itália) onde os usuários não estavam direcionado a sites falsos, mas ao malware StrongPity.

“Os dados da Kaspersky Lab revelam que, no decorrer de uma única semana, o malware entregue no site do distribuidor na Itália apareceu em centenas de sistemas na Europa e no norte da África / Oriente Médio, com muito mais infecções prováveis”, afirmou a empresa. “Durante todo o verão, Itália (87%), Bélgica (5%) e Argélia (4%) foram as mais afetadas. A geografia das vítimas do site infectado na Bélgica era semelhante, com os usuários na Bélgica respondendo por metade (54%) de mais de 60 ocorrências bem-sucedidas. ”

Além disso, o malware também estava direcionando os usuários para páginas da Web fraudulentas e corrompidas, em vez do instalador do software TrueCrypt. Embora muitos dos links corrompidos do WinRAR tenham sido removidos, ainda existem alguns instaladores TrueCrypt, conforme sugerido pelo relatório de setembro da Kapersky Labs. A evolução do TrueCrypt foi interrompida a partir de maio de 2014, depois que a Microsoft abandonou o Windows XP.

Kurt Baumgartner, o principal pesquisador de segurança da Kaspersky Lab, compara o StrongPity aos ataques Crouching Yeti / Energetic Bear que invadiram e infectaram sites autênticos de distribuição de software. Ele se refere a essa tendência como "indesejável e perigosa" e diz que deve ser tratada imediatamente.

“Essas táticas são uma tendência indesejável e perigosa que o setor de segurança precisa abordar. A busca por privacidade e integridade de dados não deve expor um indivíduo a danos ofensivos em poços de água. Os ataques de poço de água são inerentemente imprecisos, e esperamos estimular a discussão sobre a necessidade de uma verificação mais fácil e aprimorada da entrega de ferramentas de criptografia. ”Disse Kurt Baumgartner.

O máximo que podemos fazer é manter nossos usuários atualizados e aconselhá-los a serem inteligentes e cautelosos ao instalar utilitários, pois eles podem conter links enganosos. Malwares destrutivos como o StrongPity podem facilmente transformar seu PC em uma máquina danificada.