10 października 2016

Ponad tysiąc użytkowników szukających oprogramowania do szyfrowania wpadło w sidła zastawione przez grupę StrongPity

Cyberprzestępcy z zaawansowanego technicznie ugrupowania StrongPity spędzili tegoroczne lato, wabiąc użytkowników oprogramowania szyfrującego do zainfekowanych stron WWW i instalatorów (tzw. metoda wodopoju). Wyniki badania poświęconego tym atakom przedstawił Kurt Baumgartner, badacz z Kaspersky Lab, podczas konferencji Virus Bulletin.



StrongPity to zaawansowane ugrupowanie cyberprzestępcze, które specjalizuje się w zaszyfrowanych danych i komunikacji. Na przestrzeni ostatnich kilku miesięcy badacze z Kaspersky Lab zaobserwowali znaczące nasilenie się ataków tej grupy na użytkowników poszukujących dwóch popularnych narzędzi szyfrowania dokumentów: WinRAR oraz TrueCrypt.

Szkodliwe oprogramowanie StrongPity zawiera komponenty, które zapewniają atakującym pełną kontrolę nad systemem ofiary, umożliwia kradzież zawartości dysku oraz pobieranie dodatkowych modułów w celu przechwycenia komunikacji i kontaktów. Eksperci z Kaspersky Lab wykryli odwiedziny stron zainfekowanych przez StrongPity oraz obecność szkodliwego kodu wykorzystywanego przez tę grupę na ponad tysiącu zaatakowanych systemów.

Wodopoje i zatrute instalatory

W celu złapania ofiar cyberprzestępcy tworzyli fałszywe strony internetowe. W jednym przypadku zmieniono miejscami dwie litery w nazwie domeny, tak aby klienci nie zauważyli, że mają do czynienia z nielegalną witryną instalatora dla oprogramowania WinRAR. Następnie atakujący umieścili widoczny odsyłacz prowadzący do tej szkodliwej domeny na stronie dystrybutora oprogramowania WinRAR w Belgii. Prawdopodobnie podmienili odsyłacz "Polecane", który znajdował się na tej stronie, aby zwabić niczego nieświadomych użytkowników do swojego zatrutego instalatora. Pierwsze skuteczne przekierowanie zostało wykryte przez badaczy z Kaspersky Lab 28 maja 2016 r.

Niemal w tym samym czasie, 24 maja, zarejestrowano szkodliwą aktywność na stronie włoskiego dystrybutora oprogramowania WinRAR. Jednak w tym przypadku użytkownicy nie byli przekierowywani na fałszywą stronę internetową, ale serwowano im szkodliwego instalatora StrongPity bezpośrednio z oficjalnej witryny. StrongPity przekierowywał również użytkowników z popularnych stron współdzielenia oprogramowania do swoich instalatorów narzędzia TrueCrypt "wzbogaconych" o trojany. Pod koniec września aktywność ta nadal trwała.

Szkodliwe odsyłacze zostały już usunięte ze stron dystrybutorów oprogramowania WinRAR, jednak pod koniec września oszukańcza strona z zainfekowanym narzędziem TrueCrypt nadal działała.

Rozkład geograficzny zaatakowanych użytkowników

Z danych Kaspersky Lab wynika, że w ciągu jednego tygodnia szkodliwe oprogramowanie dostarczone ze strony dystrybutora we Włoszech pojawiło się w setkach systemów w całej Europie i Afryce Północnej, a także na Bliskim Wschodzie, przy czym całkowita liczba infekcji może być znacznie większa. Państwa, w których odnotowano najwięcej infekcji w ciągu całego lata, obejmują Włochy (87%), Belgię (5%) oraz Algierię (4%). Rozkład geograficzny ofiar, które weszły na zainfekowaną stronę w Belgii, był podobny, a użytkownicy w Belgii stanowili ponad połowę (54%) 60 skutecznych ataków.

Liczba ataków na użytkowników za pośrednictwem oszukańczej strony TrueCrypt wzrosła w maju 2016 r., przy czym 95% ofiar zlokalizowano w Turcji.

"Techniki stosowane przez opisywane ugrupowanie cyberprzestępcze są dość sprytne. Przypominają podejście obrane na początku 2014 r. przez ugrupowanie Crouching Yeti (znane także jako Energetic Bear), polegające na umieszczaniu trojanów w legalnych instalatorach narzędzi dla systemów kontroli przemysłowej oraz modyfikowaniu oryginalnych stron dystrybucji oprogramowania. Taktyki te stanowią niepożądany i niebezpieczny trend, z którym musi zmierzyć się branża bezpieczeństwa. Dążenie do prywatności i integralności danych nie powinno narażać użytkowników na szkody powstałe w wyniku ataków techniką wodopoju. Tego rodzaju ataki są z natury nieprecyzyjne i mamy nadzieję, że uda nam się zachęcić do dyskusji nad potrzebą łatwiejszej i udoskonalonej weryfikacji dostarczania narzędzi szyfrowania" - powiedział Kurt Baumgartner, główny badacz ds. bezpieczeństwa IT, Kaspersky Lab.

Kaspersky Lab wykrywa szkodliwe narzędzia stosowane przez grupę StrongPity jako: HEUR:Trojan.Win32.StrongPity.gen i Trojan.Win32.StrongPity.*. Zagrożenia te są także wykrywane przez produkty firmy za pośrednictwem mechanizmów proaktywnych.

Więcej informacji na temat ataków techniką wodopoju, przeprowadzanych przez ugrupowanie StrongPity, znajduje się na stronie https://kas.pr/2Ppo.

Jako czołowa firma w zakresie analizy zagrożeń i bezpieczeństwa punktów końcowych, Kaspersky Lab dostarcza swoim klientom szeroką bazę cennych danych dotyczących zagrożeń - usługę Kaspersky APT Intelligence. Serwis jest dostępny dla subskrybentów.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie http://www.kaspersky.pl/nowosci