Cyberprzestępcy z zaawansowanego technicznie ugrupowania StrongPity spędzili tegoroczne lato, wabiąc użytkowników oprogramowania szyfrującego do zainfekowanych stron WWW i instalatorów (tzw. metoda wodopoju). Wyniki badania poświęconego tym atakom przedstawił Kurt Baumgartner, badacz z Kaspersky Lab, podczas konferencji Virus Bulletin.
StrongPity to zaawansowane ugrupowanie cyberprzestępcze, które specjalizuje się w zaszyfrowanych danych i komunikacji. Na przestrzeni ostatnich kilku miesięcy badacze z Kaspersky Lab zaobserwowali znaczące nasilenie się ataków tej grupy na użytkowników poszukujących dwóch popularnych narzędzi szyfrowania dokumentów: WinRAR oraz TrueCrypt.
Szkodliwe oprogramowanie StrongPity zawiera komponenty, które zapewniają atakującym pełną kontrolę nad systemem ofiary, umożliwia kradzież zawartości dysku oraz pobieranie dodatkowych modułów w celu przechwycenia komunikacji i kontaktów. Eksperci z Kaspersky Lab wykryli odwiedziny stron zainfekowanych przez StrongPity oraz obecność szkodliwego kodu wykorzystywanego przez tę grupę na ponad tysiącu zaatakowanych systemów.
W celu złapania ofiar cyberprzestępcy tworzyli fałszywe strony internetowe. W jednym przypadku zmieniono miejscami dwie litery w nazwie domeny, tak aby klienci nie zauważyli, że mają do czynienia z nielegalną witryną instalatora dla oprogramowania WinRAR. Następnie atakujący umieścili widoczny odsyłacz prowadzący do tej szkodliwej domeny na stronie dystrybutora oprogramowania WinRAR w Belgii. Prawdopodobnie podmienili odsyłacz „Polecane”, który znajdował się na tej stronie, aby zwabić niczego nieświadomych użytkowników do swojego zatrutego instalatora. Pierwsze skuteczne przekierowanie zostało wykryte przez badaczy z Kaspersky Lab 28 maja 2016 r.
Niemal w tym samym czasie, 24 maja, zarejestrowano szkodliwą aktywność na stronie włoskiego dystrybutora oprogramowania WinRAR. Jednak w tym przypadku użytkownicy nie byli przekierowywani na fałszywą stronę internetową, ale serwowano im szkodliwego instalatora StrongPity bezpośrednio z oficjalnej witryny. StrongPity przekierowywał również użytkowników z popularnych stron współdzielenia oprogramowania do swoich instalatorów narzędzia TrueCrypt „wzbogaconych” o trojany. Pod koniec września aktywność ta nadal trwała.
Szkodliwe odsyłacze zostały już usunięte ze stron dystrybutorów oprogramowania WinRAR, jednak pod koniec września oszukańcza strona z zainfekowanym narzędziem TrueCrypt nadal działała.
„Techniki stosowane przez opisywane ugrupowanie cyberprzestępcze są dość sprytne. Przypominają podejście obrane na początku 2014 r. przez ugrupowanie Crouching Yeti (znane także jako Energetic Bear), polegające na umieszczaniu trojanów w legalnych instalatorach narzędzi dla systemów kontroli przemysłowej oraz modyfikowaniu oryginalnych stron dystrybucji oprogramowania. Taktyki te stanowią niepożądany i niebezpieczny trend, z którym musi zmierzyć się branża bezpieczeństwa. Dążenie do prywatności i integralności danych nie powinno narażać użytkowników na szkody powstałe w wyniku ataków techniką wodopoju. Tego rodzaju ataki są z natury nieprecyzyjne i mamy nadzieję, że uda nam się zachęcić do dyskusji nad potrzebą łatwiejszej i udoskonalonej weryfikacji dostarczania narzędzi szyfrowania” – powiedział Kurt Baumgartner, główny badacz ds. bezpieczeństwa IT, Kaspersky Lab.
Źródło: Kaspersky Lab Polska