El equipo de seguridad de Kaspersky Lab se topó con un malware recientemente descubierto llamado StrongPity que supuestamente corrompe los archivos WinRAR y TrueCrypt legítimos.
WinRAR es uno de los mejores servicios para archivar archivos en Windows, así como para la compresión y extracción, mientras que TrueCrypt es una herramienta de encriptación descontinuada sobre la marcha. StrongPity apunta a los ordenadores disfrazándose de instalador de dicho software y obteniendo el control total. También puede intentar robar archivos, corromperlos o incluso descargar nuevos módulos en el equipo.
El malware se ha observado en lugares de todo el mundo, incluyendo Turquía, el norte de África y Oriente Medio y, según Kaspersky Lab, las principales ubicaciones en las que reside este código infectado son Italia y Bélgica. La estrategia que los atacantes utilizan para engañar a los usuarios es reemplazar dos letras transpuestas en sus nombres de dominio y mantener su URL lo más cerca posible del sitio del instalador auténtico. El enlace de archivo del instalador se redirige al sitio del distribuidor legítimo de WinRAR y éste es sólo el frente de WinRAR.
En la imagen de abajo, podrá ver un botón azul que hemos resaltado que redirecciona a los usuarios aralrabcom llevando a las víctimas a sitios de software corruptos, y en algunos casos (uno de los cuales fue grabado en Italia) donde los usuarios no fueron dirigidos a sitios web falsos sino al propio malware de StrongPity.
«Los datos de Kaspersky Lab revelan que en el transcurso de una sola semana, el malware entregado desde el sitio del distribuidor en Italia apareció en cientos de sistemas de toda Europa y África del Norte/Oriente Medio, con muchas más infecciones», dijo la empresa. «Durante todo el verano, Italia (87 por ciento), Bélgica (5 por ciento) y Argelia (4 por ciento) fueron los más afectados. La geografía de las víctimas del sitio infectado en Bélgica era similar, con usuarios en Bélgica que representaban la mitad (54 por ciento) de más de 60 visitas exitosas».
Aparte de eso, el malware también estaba dirigiendo a los usuarios a páginas web engañosas y corruptas en lugar del instalador del software TrueCrypt. Aunque muchos de los enlaces WinRAR corruptos han sido eliminados, aún quedan algunos instaladores de TrueCrypt como sugiere el informe de septiembre de Kapersky Labs. Los desarrollos para TrueCrypt fueron descontinuados a partir de mayo de 2014 después de que Microsoft abandonara Windows XP.
Kurt Baumgartner, el principal investigador de seguridad de Kaspersky Lab, compara StrongPity con Crouching Yeti/Energetic Bear attacks que se apoderó e infectó sitios web de distribución de software auténtico. Se refiere a esta tendencia como «inoportuna y peligrosa» y dice que debe ser abordada de inmediato.
«Estas tácticas son una tendencia inoportuna y peligrosa que la industria de la seguridad necesita abordar. La búsqueda de la privacidad y la integridad de los datos no debe exponer a un individuo a daños ofensivos en el pozo de agua. Los ataques a los pozos de agua son intrínsecamente imprecisos, y esperamos estimular el debate sobre la necesidad de una verificación más fácil y mejorada de la entrega de la herramienta de cifrado», dijo Kurt Baumgartner.
Lo máximo que podemos hacer es mantener a nuestros usuarios actualizados y aconsejarles que sean inteligentes y cautelosos a la hora de instalar utilidades, ya que pueden contener enlaces engañosos. El malware destructivo como StrongPity puede convertir fácilmente su PC en una máquina dañada.