Gebruikers van encryptiesoftware door StrongPity-malware in de val gelokt

Een heimelijk opererende dreigingsactor, bekend onder StrongPity, heeft de afgelopen zomer gebruikers van encryptiesoftware naar zijn watering holes en geïnfecteerde installers gelokt.

Trefwoorden: #encryptie, #Kasperky Labs, #malware, #StrongPity, #truecrypt, #winrar

Lees verder

nieuws

( Foto: Kaspersky Labs )

ENGINEERINGNET.BE - Dit blijkt uit een op Virus Bulletin gepubliceerd artikel door Kaspersky Labs security researcher Kurt Baumgartner.

StrongPity is een technisch vaardige APT dat voornamelijk geïnteresseerd is in versleutelde data en communicatie. In de afgelopen paar maanden werd een aanzienlijke escalatie waargenomen in aanvallen op gebruikers, die op zoek waren naar twee gerespecteerde encryptie tools: WinRAR document- en TrueCrypt systeemencryptie.

De malware bevat componenten die de aanvallers volledige controle over het systeem van hun slachtoffer geven, zodat ze de inhoud van schijven kunnen stelen en ook extra modules kunnen downloaden om communicatie en contactgegevens te verzamelen.

Om hun slachtoffers in de val te lokken, bouwden de aanvallers frauduleuze websites. In één geval verwisselden ze twee letters in een domeinnaam zodat klanten dachten dat het een legitieme installatiesite betrof voor WinRAR-software.

Vervolgens plaatsten ze een prominente link naar dit schadelijke domein op de website van een WinRAR-distributeur in België, waarbij ze kennelijk de "Aanbevolen" link op de site vervingen door die van de watering hole, om zo nietsvermoedende gebruikers naar hun vergiftigde installer te leiden. De eerste succesvolle omleiding werd al op 28 mei 2016 ontdekt.

Vrijwel tegelijkertijd werd schadelijke activiteit waargenomen op de website van een Italiaanse WinRAR-distributeur. In dit geval werden gebruikers echter niet omgeleid naar een frauduleuze website, maar kregen ze de schadelijke StrongPity-installer rechtstreeks toegediend vanaf de site van de distributeur.

StrongPity leidde daarnaast bezoekers om van populaire websites om software te delen naar zijn van een trojan voorziene TrueCrypt-installers. Deze activiteit was eind september nog steeds gaande. De kwaadaardige links zijn inmiddels verwijderd van de WinRAR-distributeursites, maar eind september was de frauduleuze TrueCrypt-site nog steeds in de lucht.

Over de hele zomer gezien werden Italië (87%), België (5%) en Algerije (4%) het meest getroffen.