up_icon
Internet Misc

StrongPity: Παγίδευσαν χιλιάδες χρήστες που αναζητούσαν κρυπτογράφηση

13 Οκτωβρίου 2016 Yannis Elpidis

StrongPity: Παγίδευσαν χιλιάδες χρήστες που αναζητούσαν κρυπτογράφηση

strongpity

Ένας αόρατος απειλητικός φορέας, γνωστός και ως StrongPity, πέρασε το καλοκαίρι προσελκύοντας χρήστες λογισμικού κρυπτογράφησης σε «watering holes» και «μολυσμένα» προγράμματα εγκατάστασης, σύμφωνα με εργασία που παρουσιάστηκε στο Virus Bulletin, από τον ερευνητή ασφάλειας της Kaspersky Lab, Kurt Baumgartner. Οι χρήστες στην Ιταλία και το Βέλγιο ήταν αυτοί που επλήγησαν περισσότερο, αλλά επηρεάστηκαν επίσης και χρήστες στην Τουρκία, τη Βόρεια Αφρική και τη Μέση Ανατολή.

Το StrongPity είναι ένας τεχνικά ικανός φορέας επιθέσεων τύπου APT, που ενδιαφέρεται για κρυπτογραφημένα δεδομένα και επικοινωνίες. Κατά τη διάρκεια των τελευταίων μηνών, η Kaspersky Lab παρατήρησε μια σημαντική κλιμάκωση των επιθέσεων του σε χρήστες που αναζητούν δύο πολύ σημαντικά εργαλεία κρυπτογράφησης: το αρχείο WinRAR και το σύστημα κρυπτογράφησης TrueCrypt.

Το κακόβουλο λογισμικό StrongPity περιλαμβάνει στοιχεία που δίνουν στους επιτιθέμενους τον πλήρη έλεγχο του συστήματος του θύματος. Ουσιαστικά τους δίνει τη δυνατότητα να κλέψουν το περιεχόμενο του δίσκου αλλά και να «κατεβάσουν» πρόσθετες μονάδες για να συγκεντρώσουν επικοινωνίες και επαφές. Η Kaspersky Lab έχει μέχρι στιγμής εντοπίσει επισκέψεις σε ιστότοπους του StrongPity και την παρουσία εργαλείων του σε περισσότερα από χίλια συστήματα-στόχους.

«Watering holes» και «μολυσμένα» προγράμματα εγκατάστασης

Για να παγιδεύσουν τα θύματα τους, οι επιτιθέμενοι έφτιαξαν ψεύτικες ιστοσελίδες. Στη μία περίπτωση, μετέφεραν δύο γράμματα σε ένα domain name για να ξεγελάσουν τους πελάτες νομίζοντας ότι ήταν ένας επίσημος ιστότοπος εγκατάστασης του λογισμικού WinRAR. Στη συνέχεια, τοποθέτησαν έναν περίοπτο σύνδεσμο σε μία τοποθεσία διανομής WinRAR στο Βέλγιο, προφανώς αντικαθιστώντας τον «προτεινόμενο» σύνδεσμο της ιστοσελίδας με εκείνη του κακόβουλου domain. Καθώς οι επισκέπτες πλοηγούνταν σε αυτή την ιστοσελίδα, αυτό οδηγούσε τους ανυποψίαστους χρήστες στο «μολυσμένο» πρόγραμμα εγκατάστασης του StrongPity. Η πρώτη ανίχνευση επιτυχημένης ανακατεύθυνσης από την Kaspersky Lab έγινε στις 28 Μαΐου 2016.

Σχεδόν παράλληλα, στις 24 Μαΐου, η Kaspersky Lab άρχισε να εντοπίζει μία κακόβουλη δραστηριότητα σε μια ιταλική ιστοσελίδα διανομής WinRAR. Στην περίπτωση αυτή, ωστόσο, οι χρήστες δεν ανακατευθύνονταν σε μια απατηλή ιστοσελίδα, αλλά δέχονταν το κακόβουλο πρόγραμμα εγκατάστασης του StrongPity απευθείας από την ιστοσελίδα του διανομέα.

Το StrongPity ανακατεύθυνε επίσης επισκέπτες δημοφιλών ιστοσελίδων με δωρεάν λογισμικό στα προγράμματα εγκατάστασης του TrueCrypt που είχαν «μολυνθεί» από Trojan. Η δραστηριότητα αυτή βρισκόταν ακόμα σε εξέλιξη στα τέλη Σεπτεμβρίου.
Οι κακόβουλες συνδέσεις από τις ιστοσελίδες διανομής WinRAR έχουν πλέον αρθεί, αλλά μέχρι και το τέλος του Σεπτεμβρίου η κακόβουλη ιστοσελίδα TrueCrypt λειτουργούσε ακόμα.

Γεωγραφία των επιθέσεων

Τα δεδομένα της Kaspersky Lab αποκαλύπτουν ότι μέσα σε μία εβδομάδα το κακόβουλο λογισμικό που παρέχεται από την ιστοσελίδα του διανομέα στην Ιταλία εμφανίστηκε σε εκατοντάδες συστήματα σε όλη την Ευρώπη και τη Βόρεια Αφρική/Μέση Ανατολή, με πολλές περισσότερες πιθανές «μολύνσεις». Κατά τη διάρκεια του καλοκαιριού, η Ιταλία (87%), το Βέλγιο (5%) και η Αλγερία (4%) επλήγησαν περισσότερο. Η γεωγραφία των θυμάτων από το «μολυσμένο» ιστότοπο στο Βέλγιο ήταν παρόμοια, με τους χρήστες στο Βέλγιο να αντιπροσωπεύουν το ήμισυ (54%), με πάνω από 60 επιτυχημένες επιθέσεις. Οι επιθέσεις σε χρήστες μέσω της δόλιας ιστοσελίδας TrueCrypt φτάνουν μέχρι και το Μάιο του 2016, με το 95% των θυμάτων να βρίσκεται στην Τουρκία.

Όπως δήλωσε ο Kurt Baumgartner, Principal Security Researcher της Kaspersky Lab.

"Οι τεχνικές που χρησιμοποιήθηκαν από αυτόν τον απειλητικό φορέα είναι αρκετά έξυπνες. Μοιάζουν με την προσέγγιση που υιοθετήθηκε στις αρχές του 2014 από τις APT επιθέσεις Crouching Yeti / Energetic Bear, στην οποία συμμετείχαν νόμιμα προγράμματα εγκατάστασης λογισμικού για συστήματα βιομηχανικού ελέγχου που είχαν «μολυνθεί» από Trojan και έθεταν σε κίνδυνο γνήσιες ιστοσελίδες διανομής λογισμικού. Αυτές οι τακτικές είναι μια ανεπιθύμητη και επικίνδυνη τάση που η βιομηχανία της ασφάλειας πρέπει να αντιμετωπίσει. Η αναζήτηση για προστασία της ιδιωτικής ζωής και της ακεραιότητας των δεδομένων δεν θα πρέπει να εκθέτουν το άτομο σε επιζήμιες «waterholes». Οι επιθέσεις τύπου «waterhole» είναι εγγενώς ασαφείς και ελπίζουμε να τονώσουμε τη συζήτηση γύρω από την ανάγκη για ευκολότερη και βελτιωμένη επαλήθευση της παράδοσης εργαλείων κρυπτογράφησης"

Η Kaspersky Lab εντοπίζει όλα τα συστατικά του StrongPity με τις ονομασίες: HEUR:. Trojan.Win32.Strong Pity.gen και Trojan.Win32.StrongPity * και ως άλλες γενικές ανιχνεύσεις.

Για περισσότερες πληροφορίες σχετικά με τις επιθέσεις τύπου «watering hole» του StrongPity, μπορείτε να επισκεφτείτε τον ειδικό ιστότοπο Securelist.com.

Για πληροφορίες σχετικά με τον μετριασμό απειλών με «μολυσμένo» λογισμικό κρυπτογράφησης, μπορείτε να επισκεφτείτε το blog Kaspersky Business.

 

Yannis Elpidis

Είμαι ένας λάτρης της τεχνολογίας και του διαδικτύου. Γνώρισα τον πρώτο μου υπολογιστή στα μέσα της δεκαετίας του '80 και ήταν "love at first sight" που λένε και στο χωριό μου. Θα με βρείτε καθημερινά στη "Darkpony Digital".

Αγαπημένο μότο:
 "There are 10 kinds of people, those who understand binary and those who don't."

ΣΧΟΛΙΑ
read more

Απάτες στο Champions League

26 Μαΐου 2022 Techgear Team

Ο τελικός του UEFA Champions League μεταξύ της Λίβερπουλ και της Ρεάλ Μαδρίτης θα πραγματοποιηθεί στις 28 Μαΐου. Πρόκειται για μια τεράστια εκδήλωση που συγκεντρώνει πλήθος φιλάθλων. Σύμφωνα με τα στατιστικά ...

Street View: Μπορείς πλέον να ταξιδεύεις πίσω στο χρόνο

24 Μαΐου 2022 Techgear Team

Πριν 15 χρόνια, το Street View ξεκίνησε ως μια τολμηρή ιδέα από τον συν-ιδρυτή της Google, Larry Page, για την κατασκευή ενός πλήρους χάρτη, 360 μοιρών, ολόκληρου του κόσμου. Σήμερα, πάνω από 220 δισεκατομμύρια...

15 χρόνια Google Street View! Οι δημοφιλέστερες τοποθεσίες στην Ελλάδα

24 Μαΐου 2022 Techgear Team

Το 2007 δημοσιεύσαμε τις πρώτες εικόνες του Street View από το Σαν Φρανσίσκο, τη Νέα Υόρκη, το Λας Βέγκας, το Μαϊάμι και το Ντένβερ. Από τότε, αυτοκίνητα του Street View, εξοπλισμένα με φωτογραφικές μηχανές, ...

Δέκα λόγοι που πέφτουμε θύματα απάτης

24 Μαΐου 2022 Techgear Team

Μερικά πράγματα είναι αυτονόητα: το διαδίκτυο έχει φέρει επανάσταση στη ζωή μας, αλλάζοντας τον τρόπο με τον οποίο εργαζόμαστε, μαθαίνουμε, διασκεδάζουμε και αλληλοεπιδρούμε. Τα οφέλη του δικτυωμένου κόσμου μας...

Προσοχή στα συνημμένα HTML αρχεία των emails

20 Μαΐου 2022 Techgear Team

Οι ειδικοί της Kaspersky προειδοποιούν τους χρήστες για τις αυξημένες επιθέσεις μέσω phishing emails που περιέχουν αρχεία HTML. Από τον Ιανουάριο έως τον Απρίλιο του 2022, οι ερευνητές της Kaspersky απέκλεισαν ...

Οι πιο συνηθισμένες απάτες στο LinkedIn και τι να προσέξεις

19 Μαΐου 2022 Techgear Team

Το κυνήγι για μια θέση εργασίας είναι σκληρή δουλειά, ένα είδος πλήρους απασχόλησης από μόνο του. Χρειάζεται συγκέντρωση και υπομονή για να ψάχνετε τη μία αγγελία μετά την άλλη και να συμπληρώνετε ατελείωτες ...

YouTube: Η νέα λειτουργία Most Replayed για να μην χάνεις χρόνο

19 Μαΐου 2022 Christos Elpidis

Η ομάδα ανάπτυξης του YouTube φέρνει μια νέα λειτουργία στον video player της υπηρεσίας που θα δείχνει στον θεατή ποιο μέρος του έχει συγκεντρώσει τα περισσότερα views. Ουσιαστικά, πρόκειται για ένα νέο γράφημα...

Από το iPod στο streaming: Συμβουλές για ασφαλή χρήση στη νέα εποχή

17 Μαΐου 2022 Techgear Team

Πρόσφατα η Apple ανακοίνωσε ότι σταμάτησε την κατασκευή του iPod. Η εταιρεία θα πουλήσει τα αποθέματα του iPod Touch, σηματοδοτώντας το τέλος εποχής για το iPod και την «προσωπική μουσική». Τα τελευταία χρόνια ...

Google: Απαγορεύει τα downloads και τις αναβαθμίσεις των επί πληρωμή εφαρμογών στη Ρωσία

10 Μαΐου 2022 Christos Elpidis

Δυσκολεύει ακόμη περισσότερο η «ψηφιακή» καθημερινότητα για εκατομμύρια χρήστες που ζουν στη Ρωσία, καθώς η Google ανακοίνωσε νέα μέτρα σχετικά με τη διανομή των εφαρμογών και των αναβαθμίσεων τους μέσα από το ...

Twitter Article: Δοκιμές για δημοσίευση long-form κειμένων στο Twitter

09 Μαΐου 2022 Christos Elpidis

Εν μέσω των υποσχέσεων που ξεκίνησε να μοιράζει ο Elon Musk στους υπόλοιπους μετόχους της Twitter (σ.σ. κάνει λόγο για τετραπλασιασμό του αριθμού των χρηστών μέσα στα επόμενα χρόνια), η γνωστή ερευνήτρια Jane ...

Loader
techgear_icon