Atacurile de tip “watering hole” StrongPity au facut 1.000 de victime care cautau programe de criptare

O grupare de atacatori, cunoscuta sub denumirea de StrongPity, si-a petrecut vara ademenind utilizatorii de programe de criptare prin tehnica “watering hole”[1], potrivit unei lucrari prezentate in Virus Bulletin de cercetatorul Kaspersky Lab, Kurt Baumgartner. Utilizatorii din Italia si Belgia au fost cel mai grav afectati, dar printre victime se numara si persoane din Turcia, Africa de Nord si Orientul Mijlociu.

StrongPity este o grupare de tip APT (Advanced Persistent Threat), care dispune de tehnici avansate si este interesata de informatiile si mesajele criptate. In ultimele cateva luni, Kaspersky Lab a observat o crestere semnificativa a atacurilor impotriva utilizatorilor care cauta doua programe cunoscute de criptare: WinRAR si sistemul TrueCrypt.

Programul malware StrongPity include componente care le dau atacatorilor control deplin asupra sistemului victimei, permitandu-le sa fure continut de pe hard disk si sa descarce module suplimentare pentru a strange mesaje si contacte. Kaspersky Lab a detectat, pana in acest moment, vizite catre site-uri StrongPity si prezenta unor componente StrongPity in peste 1.000 de sisteme vizate.

Site-uri infectate si surse de instalare “otravite”

Pentru a prinde victimele in capcana, atacatorii au creat site-uri false. Intr-un caz, au inversat doua litere in numele unui domeniu, pentru a-i pacali pe clienti sa creada ca este un site legitim, de unde pot instala programul WinRAR. Apoi au plasat un link foarte vizibil catre un domeniu malware, aflat pe un site din Belgia, aparent, inlocuind link-ul recomandat de site, cu link-ul malware. Atunci cand vizitatorii intrau pe acel site, ii conducea la sursa compromisa StrongPity. Prima detectie facuta de Kaspersky Lab a unei redirectionari reusite a fost pe 28 mai 2016.

Aproape in acelasi timp, pe 24 mai, Kaspersky Lab a inceput sa detecteze activitate malware pe un site din Italia, de unde se putea descarca WinRAR. In acest caz, insa, utilizatorii nu erau redirectionati catre un alt site compromis, ci erau infectati cu StrongPity direct de pe primul site.

De asemenea. StrongPity a directionat vizitatorii de pe site-uri unde sunt puse la dispozitie programe populare, catre site-ul infectat TrueCrypt. Gruparea activa inca la sfarsitul lunii septembrie.

Link-urile malware de pe site-urile care puneau la dispozitia utilizatorilor programul WinRAR au fost indepartate, dar la finalul lunii septembrie, site-ul fraudulos TrueCrypt era inca functional.

Regiuni afectate

Datele Kaspersky Lab arata ca, pe parcursul unei singure saptamani, programele malware “livrate” de site-ul din Italia au aparut pe sute de sisteme din Europa si Africa de Nord sau Orientul Mijlociu, existand posibilitatea unui numar mult mai mare de infectari. Pe parcursul verii, Italia (87%), Belgia (5%) si Algeria (4%) au fost tarile cele mai afectate. In mod similar, in cazul site-ului infectat din Belgia, utilizatorii de aici au reprezentat jumatate (54%) din peste 60 de atacuri de succes.

Atacurile asupra utilizatorilor, realizate prin intermediul site-ului fals TrueCrypt, s-au intensificat in mai 2016, 95% dintre victime fiind localizate in Turcia.

“Tehnicile folosite de aceasta grupare sunt chiar ingenioase. Seamana cu cele de la inceputul lui 2014, ale grupului Crouching Yeti/Energetic Bear, care presupuneau infectarea cu troieni a unor programe legitime pentru sisteme industriale de control si compromiterea site-urilor care distribuie programe. Aceste tactici reprezinta o tendinta periculoasa pe care industria de securitate trebuie sa o rezolve. Nevoia de a-si proteja intimitatea si integritatea datelor nu ar trebui sa expuna utilizatorii la pericolul site-urilor infectate. Atacurile de acest gen sunt, inevitabil, imprecise si speram sa incurajam discutiile depre nevoia unei verificari mai simple si mai bune a instrumentelor de criptare”, a spus Kurt Baumgartner, Principal Security Researcher, Kaspersky Lab.

Kaspersky Lab detecteaza toate componentele StrongPity. Pentru mai multe informatii despre atacurile StrongPity prin infectarea site-urilor, cititi articolul de pe Securelist.com.

Pentru mai multe informatii despre diminuarea riscurilor reprezentate de programele infectate de criptare, cititi articolul de pe blogul Kaspersky Business.

Mai multe informatii despre rapoartele Kaspersky Lab de informatii, sunt disponibile pe

https://www.kaspersky.com/enterprise-security/apt-intelligence-reporting.

[1] Atacuri prin care sunt infectate site-uri legitime, pentru ca acestea sa infecteze,  la randul lor, dispozitivul celor care intra pe site-ul respectiv

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.