Ponad tysiąc użytkowników w sidłach grupy StrongPity
Cyberprzestępcy z zaawansowanego technicznie ugrupowania StrongPity spędzili tegoroczne lato, wabiąc użytkowników oprogramowania szyfrującego do zainfekowanych stron WWW i instalatorów (tzw. metoda wodopoju). Wyniki badania poświęconego tym atakom przedstawił Kurt Baumgartner, badacz z Kaspersky Lab, podczas konferencji Virus Bulletin.
StrongPity to zaawansowane ugrupowanie cyberprzestępcze, które specjalizuje się w zaszyfrowanych danych i komunikacji. Na przestrzeni ostatnich kilku miesięcy badacze z Kaspersky Lab zaobserwowali znaczące nasilenie się ataków tej grupy na użytkowników poszukujących dwóch popularnych narzędzi szyfrowania dokumentów: WinRAR oraz TrueCrypt.
Szkodliwe oprogramowanie StrongPity zawiera komponenty, które zapewniają atakującym pełną kontrolę nad systemem ofiary, umożliwia kradzież zawartości dysku oraz pobieranie dodatkowych modułów w celu przechwycenia komunikacji i kontaktów. Eksperci z Kaspersky Lab wykryli odwiedziny stron zainfekowanych przez StrongPity oraz obecność szkodliwego kodu wykorzystywanego przez tę grupę na ponad tysiącu zaatakowanych systemów.
W celu złapania ofiar cyberprzestępcy tworzyli fałszywe strony internetowe. W jednym przypadku zmieniono miejscami dwie litery w nazwie domeny, tak aby klienci nie zauważyli, że mają do czynienia z nielegalną witryną instalatora dla oprogramowania WinRAR. Następnie atakujący umieścili widoczny odsyłacz prowadzący do tej szkodliwej domeny na stronie dystrybutora oprogramowania WinRAR w Belgii. Prawdopodobnie podmienili odsyłacz „Polecane”, który znajdował się na tej stronie, aby zwabić niczego nieświadomych użytkowników do swojego zatrutego instalatora. Pierwsze skuteczne przekierowanie zostało wykryte przez badaczy z Kaspersky Lab 28 maja 2016 r.
Niemal w tym samym czasie, 24 maja, zarejestrowano szkodliwą aktywność na stronie włoskiego dystrybutora oprogramowania WinRAR. Jednak w tym przypadku użytkownicy nie byli przekierowywani na fałszywą stronę internetową, ale serwowano im szkodliwego instalatora StrongPity bezpośrednio z oficjalnej witryny. StrongPity przekierowywał również użytkowników z popularnych stron współdzielenia oprogramowania do swoich instalatorów narzędzia TrueCrypt „wzbogaconych” o trojany. Pod koniec września aktywność ta nadal trwała.
Szkodliwe odsyłacze zostały już usunięte ze stron dystrybutorów oprogramowania WinRAR, jednak pod koniec września oszukańcza strona z zainfekowanym narzędziem TrueCrypt nadal działała.
Z danych Kaspersky Lab wynika, że w ciągu jednego tygodnia szkodliwe oprogramowanie dostarczone ze strony dystrybutora we Włoszech pojawiło się w setkach systemów w całej Europie i Afryce Północnej, a także na Bliskim Wschodzie, przy czym całkowita liczba infekcji może być znacznie większa. Państwa, w których odnotowano najwięcej infekcji w ciągu całego lata, obejmują Włochy (87%), Belgię (5%) oraz Algierię (4%). Rozkład geograficzny ofiar, które weszły na zainfekowaną stronę w Belgii, był podobny, a użytkownicy w Belgii stanowili ponad połowę (54%) 60 skutecznych ataków.
Liczba ataków na użytkowników za pośrednictwem oszukańczej strony TrueCrypt wzrosła w maju 2016 r., przy czym 95% ofiar zlokalizowano w Turcji.
Kaspersky Lab wykrywa szkodliwe narzędzia stosowane przez grupę StrongPity jako: HEUR:Trojan.Win32.StrongPity.gen i Trojan.Win32.StrongPity.*. Zagrożenia te są także wykrywane przez produkty firmy za pośrednictwem mechanizmów proaktywnych.
Więcej informacji na temat ataków techniką wodopoju, przeprowadzanych przez ugrupowanie StrongPity, znajduje się na stronie https://kas.pr/2Ppo.
