Cyberprzestępcy z zaawansowanego technicznie ugrupowania StrongPity spędzili tegoroczne lato, wabiąc użytkowników oprogramowania szyfrującego do zainfekowanych stron WWW i instalatorów (tzw. metoda wodopoju). Wyniki badania poświęconego tym atakom przedstawił Kurt Baumgartner, podczas konferencji Virus Bulletin.
StrongPity to zaawansowane ugrupowanie cyberprzestępcze, które specjalizuje się w zaszyfrowanych danych i komunikacji. Na przestrzeni ostatnich kilku miesięcy badacze zaobserwowali znaczące nasilenie się ataków tej grupy na użytkowników poszukujących dwóch popularnych narzędzi szyfrowania dokumentów: WinRAR oraz TrueCrypt.
Szkodliwe oprogramowanie StrongPity zawiera komponenty, które zapewniają atakującym pełną kontrolę nad systemem ofiary, umożliwia kradzież zawartości dysku oraz pobieranie dodatkowych modułów w celu przechwycenia komunikacji i kontaktów. Eksperci z Kaspersky Lab wykryli odwiedziny stron zainfekowanych przez StrongPity oraz obecność szkodliwego kodu wykorzystywanego przez tę grupę na ponad tysiącu zaatakowanych systemów.
Wodopoje i zatrute instalatory
W celu złapania ofiar cyberprzestępcy tworzyli fałszywe strony internetowe. W jednym przypadku zmieniono miejscami dwie litery w nazwie domeny, tak aby klienci nie zauważyli, że mają do czynienia z nielegalną witryną instalatora dla oprogramowania WinRAR. Następnie atakujący umieścili widoczny odsyłacz prowadzący do tej szkodliwej domeny na stronie dystrybutora oprogramowania WinRAR w Belgii. Prawdopodobnie podmienili odsyłacz „Polecane”, który znajdował się na tej stronie, aby zwabić niczego nieświadomych użytkowników do swojego zatrutego instalatora. Pierwsze skuteczne przekierowanie zostało wykryte przez badaczy z Kaspersky Lab 28 maja 2016 r.
Niemal w tym samym czasie, 24 maja, zarejestrowano szkodliwą aktywność na stronie włoskiego dystrybutora oprogramowania WinRAR. Jednak w tym przypadku użytkownicy nie byli przekierowywani na fałszywą stronę internetową, ale serwowano im szkodliwego instalatora StrongPity bezpośrednio z oficjalnej witryny. StrongPity przekierowywał również użytkowników z popularnych stron współdzielenia oprogramowania do swoich instalatorów narzędzia TrueCrypt „wzbogaconych” o trojany. Pod koniec września aktywność ta nadal trwała.
Szkodliwe odsyłacze zostały już usunięte ze stron dystrybutorów oprogramowania WinRAR, jednak pod koniec września oszukańcza strona z zainfekowanym narzędziem TrueCrypt nadal działała.
Rozkład geograficzny zaatakowanych użytkowników
Z danych Kaspersky Lab wynika, że w ciągu jednego tygodnia szkodliwe oprogramowanie dostarczone ze strony dystrybutora we Włoszech pojawiło się w setkach systemów w całej Europie i Afryce Północnej, a także na Bliskim Wschodzie, przy czym całkowita liczba infekcji może być znacznie większa. Państwa, w których odnotowano najwięcej infekcji w ciągu całego lata, obejmują Włochy (87%), Belgię (5%) oraz Algierię (4%). Rozkład geograficzny ofiar, które weszły na zainfekowaną stronę w Belgii, był podobny, a użytkownicy w Belgii stanowili ponad połowę (54%) 60 skutecznych ataków.
Liczba ataków na użytkowników za pośrednictwem oszukańczej strony TrueCrypt wzrosła w maju 2016 r., przy czym 95% ofiar zlokalizowano w Turcji.
„Techniki stosowane przez opisywane ugrupowanie cyberprzestępcze są dość sprytne. Przypominają podejście obrane na początku 2014 r. przez ugrupowanie Crouching Yeti (znane także jako Energetic Bear), polegające na umieszczaniu trojanów w legalnych instalatorach narzędzi dla systemów kontroli przemysłowej oraz modyfikowaniu oryginalnych stron dystrybucji oprogramowania. Taktyki te stanowią niepożądany i niebezpieczny trend, z którym musi zmierzyć się branża bezpieczeństwa. Dążenie do prywatności i integralności danych nie powinno narażać użytkowników na szkody powstałe w wyniku ataków techniką wodopoju. Tego rodzaju ataki są z natury nieprecyzyjne i mamy nadzieję, że uda nam się zachęcić do dyskusji nad potrzebą łatwiejszej i udoskonalonej weryfikacji dostarczania narzędzi szyfrowania” – powiedział Kurt Baumgartner, główny badacz ds. bezpieczeństwa IT, Kaspersky Lab.
Kaspersky Lab wykrywa szkodliwe narzędzia stosowane przez grupę StrongPity jako: HEUR:Trojan.Win32.StrongPity.gen i Trojan.Win32.StrongPity.*. Zagrożenia te są także wykrywane przez produkty firmy za pośrednictwem mechanizmów proaktywnych.
Źródło: Kaspersky Lab
