Analytici Kaspersky Lab odhalili malware StrongPity, který zejména v létě útočil technikou „watering hole“ a za pomoci napadaných instalátorů na majitele šifrovacích softwarů. Podle společnosti Kaspersky Lab jím byli poškozeni uživatelé v Evropě, severní Africe a na Středním východě. (TZ)
StrongPity je technicky vyspělá APT hrozba, která cílí na šifrovaná data a komunikaci. Experti Kaspersky Lab zaznamenali během několika posledních měsíců výrazný nárůst útoků na uživatele, kteří vyhledávali důvěryhodné kódovací nástroje WinRAR a TrueCrypt.
Nebezpečný malware StrongPity obsahuje komponenty, které útočníkům umožňují absolutní kontrolu nad systémem oběti. Zločincům dává možnost ukrást obsah celého disku nebo do zařízení stáhnout dodatečné moduly a shromažďovat tak veškerou komunikaci a kontakty. Kaspersky Lab objevila návštěvy stránek StrongPity a části malwaru ve více než tisíci systémech uživatelů.
Útočníci cílili na své oběti pomocí techniky „watering hole“ a napadených instalátorů. Vytvořili podvodnou webovou stránku, v jejíž doméně pouze přehodili dvě písmena. Zákazníci se tak domnívali, že jde o oficiální stránku s instalačním souborem pro software WinRAR. Poté kybernetičtí zločinci umístili přímo na web belgického distributora softwaru WinRAR místo „doporučeného“ speciální odkaz, který návštěvníky přesměroval na škodlivou doménu s nebezpečným instalátorem. Experti Kaspersky Lab zjistili, že první úspěšné přesměrování na podvodný web bylo provedeno v květnu 2016.
Téměř ve stejnou dobu zaznamenali experti nebezpečnou aktivitu i na webových stránkách italského distributora. V tomto případě ale uživatelé nebyli přesměrováni na podvodnou stránku. Nebezpečný instalátor byl ke stažení přímo na stránce distributora.
StrongPity využívá webů určených pro sdílení softwaru. Jejich návštěvníky přesměrovává na napadené instalátory TrueCrypt. Zatímco nebezpečné odkazy na webech WinRAR distributorů byly odstraněny, podvodné stránky TrueCrypt byly na konci tohoto září stále aktivní.
Data společnosti Kaspersky Lab ukázala, že během jediného týdne se malware z webu italského distributora objevil ve stovkách systémů po celé Evropě, severní Africe a na Středním východě. Nejvíce zasaženými byly Itálie (87 %), Belgie (5 %) a Alžírsko (4 %). Podobně tomu bylo i v Belgii. V tomto případě ale byla napadena asi polovina (54 %) místních uživatelů. Útoky podvodného webu TrueCrypt byly nejznatelnější v květnu 2016, kdy bylo napadeno 95 % tureckých uživatelů.
Kaspersky Lab monitoruje všechny části malwaru StrongPity jako HEUR:Trojan.Win32.StrongPity.gen and Trojan.Win32.StrongPity.* a jiné podobné výskyty.
O útocích „watering hole“ a StrongPity se více dozvíte zde.
Jak zmírnit hrozby, které představují napadené šifrovací softwary, se dozvíte zde.
Více informací o APT Intelligence, informačního servisu společnosti Kaspersky Lab, naleznete zde.
O společnosti Kaspersky Lab
Kaspersky Lab je mezinárodní společností, která se zabývá kybernetickou bezpečností a funguje již od roku 1997. Své rozsáhlé odborné znalosti kybernetických hrozeb využívá Kaspersky Lab při vytváření bezpečnostních řešení a služeb k ochraně podniků, kritické infrastruktury, vládních organizací a uživatelů po celém světě. Portfolio společnosti zahrnuje špičkové zabezpečení koncových bodů a specializovaná bezpečnostní řešení a služby sloužící k ochraně proti sofistikovaným a neustále se vyvíjejícím digitálním hrozbám. Technologie Kaspersky Lab chrání celosvětově více než 400 milionů uživatelů a 270 tisíc korporátních klientů. Více se dozvíte na www.kaspersky.cz.