El equipo de seguridad de Kaspersky Lab se topó con un malware recién descubierto llamado StrongPity que supuestamente corrompe los archivos legítimos WinRAR y TrueCrypt.

WinRAR es uno de los mejores servicios para archivar archivos en Windows, así como también para la compresión y extracción, mientras que TrueCrypt es una herramienta de cifrado sobre la marcha descontinuada. StrongPity se dirige a las computadoras disfrazándose de instalador de dicho software y obteniendo el control total. También puede intentar robar archivos, corromperlos o incluso descargar nuevos módulos en la máquina.

El malware se ha observado en lugares de todo el mundo, incluidos Turquía, África del Norte y Oriente Medio y, según Kaspersky Lab, los principales lugares donde reside este fragmento de código infectado son Italia y Bélgica. La estrategia que usan los atacantes para engañar a los usuarios es reemplazar dos letras transpuestas en sus nombres de dominio y mantener su URL lo más cerca posible del sitio del instalador auténtico. El enlace del archivo del instalador se redirige al sitio legítimo del distribuidor WinRAR y esto es solo el frente de WinRAR.

En la imagen a continuación, podrá detectar un botón azul que hemos resaltado que redirige a los usuarios a 'ralrabcom' que llevan a las víctimas a sitios de software corruptos, y en algunos casos (uno de los cuales se registró en Italia) donde los usuarios no estaban dirigido a sitios web simulados pero al malware StrongPity en sí.

"Los datos de Kaspersky Lab revelan que en el transcurso de una sola semana, el malware entregado desde el sitio del distribuidor en Italia apareció en cientos de sistemas en toda Europa y el norte de África / Medio Oriente, con muchas más infecciones probables", dijo la firma. “Durante todo el verano, Italia (87 por ciento), Bélgica (5 por ciento) y Argelia (4 por ciento) fueron los más afectados. La geografía de las víctimas del sitio infectado en Bélgica fue similar, y los usuarios en Bélgica representaron la mitad (54 por ciento) de más de 60 visitas exitosas ".

Aparte de eso, el malware también estaba dirigiendo a los usuarios a páginas web engañosas y corruptas en lugar del instalador de software TrueCrypt. Aunque muchos de los enlaces WinRAR contaminados se han eliminado, todavía quedan algunos instaladores de TrueCrypt como lo sugiere el informe de septiembre de Kapersky Labs. Los desarrollos para TrueCrypt se suspendieron a partir de mayo de 2014 después de que Microsoft abandonó Windows XP.

Kurt Baumgartner, el investigador principal de seguridad de Kaspersky Lab, compara StrongPity con los ataques Crouching Yeti / Energetic Bear que se hicieron cargo e infectaron sitios web de distribución de software auténticos. Se refiere a esta tendencia como "inoportuna y peligrosa" y dice que debe abordarse de inmediato.

“Estas tácticas son una tendencia inoportuna y peligrosa que la industria de la seguridad necesita abordar. La búsqueda de privacidad e integridad de datos no debe exponer a un individuo a daños ofensivos en los pozos de agua. Los ataques a los pozos de agua son intrínsecamente imprecisos y esperamos estimular la discusión sobre la necesidad de una verificación más fácil y mejorada de la entrega de herramientas de cifrado ”, dijo Kurt Baumgartner.

Lo máximo que podemos hacer es mantener a nuestros usuarios actualizados y aconsejarles que sean inteligentes y cautelosos al instalar utilidades, ya que pueden contener enlaces engañosos. El malware destructivo como StrongPity puede convertir fácilmente su PC en una máquina dañada.