Kaspersky Lab'ın güvenlik ekibi, meşhur WinRAR ve TrueCrypt dosyalarını meşrulaştırdığı iddia edilen StrongPity adlı yeni keşfedilmiş bir kötü amaçlı yazılımla karşılaştı.

WinRAR, Windows'ta dosya arşivlemenin yanı sıra sıkıştırma ve çıkartma işlemleriyle uğraşırken en iyi hizmetlerden biridir, TrueCrypt ise artık kullanılmayan bir şifreleme aracıdır. StrongPity, bilgisayarları söz konusu yazılım için yükleyici olarak gizleyerek ve tam kontrol sağlayarak hedefler. Ayrıca, dosyaları çalmaya, onları bozmaya ve hatta makineye yeni modüller indirmeye çalışabilir.

Kötü amaçlı yazılımlar, Türkiye, Kuzey Afrika ve Orta Doğu dahil olmak üzere dünyanın her yerinde gözlemlenmiştir ve Kaspersky Lab'a göre, bu virüs bulaşmış kodun bulunduğu ana yerler İtalya ve Belçika'dadır. Saldırganların kullanıcıları kandırmak için kullandıkları strateji, etki alanı adlarına aktarılan iki harfi değiştiriyor ve URL'lerini orijinal yükleyici siteye olabildiğince yakın tutuyor. Yükleyicinin dosya bağlantısı daha sonra meşru WinRAR dağıtıcı sitesine yönlendirilir ve bu yalnızca WinRAR cephesidir.

Aşağıdaki resimde, kurbanları bozuk yazılım sitelerine götüren ve bazı durumlarda (İtalya'da kaydedilmiş olan) bazı durumlarda kullanıcıların kaydedilmediğini belirten, kullanıcıları ralcom'a yönlendiren vurguladığımız mavi bir düğme görebileceksiniz. web sitelerini utandırmakla kalmayıp StrongPity kötü amaçlı yazılımın kendisine yönlendirildi.

Firma, “Kaspersky Lab verileri, bir hafta boyunca, İtalya'daki distribütör sitesinden gönderilen kötü amaçlı yazılımların, Avrupa ve Kuzey Afrika / Orta Doğu'daki yüzlerce sistemde göründüğünü ortaya koyuyor, daha fazla enfeksiyon olasılığı var” dedi. “Yaz boyunca, İtalya (yüzde 87), Belçika (yüzde 5) ve Cezayir (yüzde 4) en çok etkilendi. Belçika'daki virüslü bölgeden gelen mağdur coğrafyası benzerdi; Belçika'daki kullanıcılar 60'tan fazla başarılı isabetin yarısını (yüzde 54) oluşturuyordu. ”

Bunun dışında, kötü amaçlı yazılımın kullanıcıları TrueCrypt yazılımı yükleyicisi yerine aldatıcı, bozuk web sayfalarına yönlendirdiği de bildirildi. Sınırlı WinRAR bağlantılarının çoğu kaldırılmış olmasına rağmen, Kapersky Labs'ın Eylül ayı raporunda önerildiği gibi hala bazı TrueCrypt yükleyicileri var. TrueCrypt ile ilgili gelişmeler, Microsoft'un Windows XP'yi terk etmesinden sonra Mayıs 2014'ten itibaren durduruldu.

Kaspersky Lab'ın en önemli güvenlik araştırmacısı Kurt Baumgartner, StrongPity ile otantik yazılım dağıtım web sitelerini ele geçiren ve virüs bulaşan Crouching Yeti / Energetic Bear saldırılarını karşılaştırıyor. Bu eğilimi “istenmeyen ve tehlikeli” olarak adlandırıyor ve derhal ele alınması gerektiğini söylüyor.

“Bu taktikler, güvenlik endüstrisinin ele alması gereken istenmeyen ve tehlikeli bir trend. Gizlilik ve veri bütünlüğü arayışı, bir bireye saldırgan su birikintisi hasarına maruz kalmamalıdır. Su birikintisi saldırıları doğası gereği kesin değildir ve şifreleme aracının teslim edilmesinin daha kolay ve iyileştirilmiş bir şekilde doğrulanması gereği üzerine tartışmayı teşvik etmeyi umuyoruz. ”Dedi.

Yapabileceğimiz en fazla şey, kullanıcılarımızı güncel tutmak ve aldatıcı bağlantılar içerebilecekleri programları yüklerken akıllı ve dikkatli olmalarını tavsiye etmektir. StrongPity gibi zararlı yazılımlar, bilgisayarınızı kolayca hasarlı bir makineye dönüştürebilir.