Computergebruikers in de val gelokt door malware StrongPity
Het gaat allemaal om StrongPity, een technisch vaardige APT (Advanced Persistent Threat) die voornamelijk geïnteresseerd is in versleutelde data en communicatie. De malware zat vertsopt achter sites waar zogenaamd anti-virussoftware te krijgen zou zijn. Vooral gebruikers die op zoek waren naar WinRAR document- en TrueCrypt systeemencryptie waren de klos.
Verkeerde bestemming
Zij kwamen niet terecht op een legitieme downloadsite, maar op een plaats waar de malware klaar stond om de systemen te bespringen. De malware bevat componenten die de aanvallers volledige controle over het systeem van hun slachtoffer geven, zodat ze de inhoud van schijven kunnen stelen en ook extra modules kunnen downloaden om communicatie en contactgegevens te verzamelen.
Om hun slachtoffers ongemerkt in de val te lokken, bouwden de aanvallers frauduleuze websites. In één geval verwisselden ze twee letters in een domeinnaam zodat klanten dachten dat het een legitieme installatiesite betrof voor WinRAR-software. Vervolgens plaatsten ze een prominente link naar dit schadelijke domein op de website van een WinRAR-distributeur in België Kennelijk werd de "Aanbevolen" link op die site vervingen door die van de watering hole, de plaats waar de malware klaar stond.
Rechtstreekse bedreiging
Vrijwel tegelijkertijd, op 24 mei, begon Kaspersky Lab schadelijke activiteit waar te nemen op de website van een Italiaanse WinRAR-distributeur. In dit geval werden gebruikers echter niet omgeleid naar een frauduleuze website, maar kregen ze de schadelijke StrongPity-installer rechtstreeks toegediend vanaf de site van de distributeur. Het blog van Baumgartner is hier te lezen.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee