L'équipe de sécurité de Kaspersky Lab est tombée sur un logiciel malveillant récemment découvert, StrongPity, qui corrompt prétendument des fichiers WinRAR et TrueCrypt légitimes.

WinRAR est l’un des meilleurs services pour l’archivage de fichiers sous Windows, ainsi que pour la compression et l’extraction, alors que TrueCrypt est un outil de chiffrement abandonné à la volée. StrongPity cible les ordinateurs en se faisant passer pour un installateur de ces logiciels et en obtenant un contrôle total. Il peut également essayer de voler des fichiers, de les corrompre ou même de télécharger de nouveaux modules sur la machine.

Le malware a été observé dans le monde entier, notamment en Turquie, en Afrique du Nord et au Moyen-Orient. Selon Kaspersky Lab, ce code infecté se trouve principalement en Italie et en Belgique. La stratégie utilisée par les attaquants pour duper les utilisateurs consiste à remplacer deux lettres transposées dans leurs noms de domaine et à maintenir leur URL aussi proche que possible du site d'installation authentique. Le lien de fichier du programme d’installation est ensuite redirigé vers le site du distributeur WinRAR légitime et il ne s’agit que du côté WinRAR.

Dans l'image ci-dessous, vous pourrez repérer un bouton bleu indiquant aux utilisateurs que "ralrabcom" doit rediriger les victimes vers des sites de logiciels corrompus et, dans certains cas (l'un d'entre eux a été enregistré en Italie), où les utilisateurs n'étaient pas concernés. dirigés vers des sites Web factices mais vers le malware StrongPity lui-même.

"Les données de Kaspersky Lab révèlent qu'en l'espace d'une semaine, des logiciels malveillants provenant du site du distributeur en Italie sont apparus sur des centaines de systèmes en Europe et en Afrique du Nord / Moyen-Orient, avec de nombreuses autres infections probables", a déclaré la firme. «Durant tout l'été, l'Italie (87%), la Belgique (5%) et l'Algérie (4%) ont été les plus touchées. La géographie de la victime du site infecté en Belgique était similaire, les utilisateurs en Belgique comptant pour la moitié (54%) de plus de 60 visites réussies."

Indépendamment de cela, le programme malveillant aurait également dirigé les utilisateurs vers des pages Web trompeuses et corrompues au lieu du programme d'installation du logiciel TrueCrypt. Bien que de nombreux liens WinRAR altérés aient été supprimés, il reste encore quelques installateurs TrueCrypt, comme suggéré dans le rapport de Kapersky Labs de septembre. Les développements pour TrueCrypt ont été arrêtés à partir de mai 2014 après que Microsoft a abandonné Windows XP.

Kurt Baumgartner, principal chercheur en sécurité chez Kaspersky Lab, compare StrongPity aux attaques Crunching Yeti / Energetic Bear qui ont repris et infecté des sites Web authentiques de distribution de logiciels. Il qualifie cette tendance d '"importune et dangereuse" et déclare qu'il faut y remédier immédiatement.

«Ces tactiques constituent une tendance importune et dangereuse à laquelle le secteur de la sécurité doit faire face. La recherche de la vie privée et de l'intégrité des données ne doit pas exposer un individu à des dommages offensants pour les points d'eau. Les attaques par points d'eau sont intrinsèquement imprécises et nous espérons susciter un débat sur la nécessité de vérifier plus facilement et plus efficacement la fourniture des outils de chiffrement », a déclaré Kurt Baumgartner.

Le mieux que nous puissions faire est de tenir nos utilisateurs informés et de leur conseiller de faire preuve de prudence lors de l’installation d’utilitaires car ils peuvent contenir des liens trompeurs. Les logiciels malveillants destructeurs tels que StrongPity peuvent facilement transformer votre PC en une machine endommagée.