Tim keamanan Kaspersky Lab menemukan malware yang baru ditemukan bernama StrongPity yang diduga merusak file WinRAR dan TrueCrypt yang sah.

WinRAR adalah salah satu layanan terbaik untuk pengarsipan file di Windows serta menangani kompresi dan ekstraksi sedangkan TrueCrypt adalah alat enkripsi on-the-fly yang dihentikan. StrongPity menargetkan komputer dengan menyamar sebagai penginstal untuk perangkat lunak tersebut dan mendapatkan kontrol penuh. Mungkin juga mencoba mencuri file, merusaknya, atau bahkan mengunduh modul baru pada mesin.

Malware telah diamati di lokasi di seluruh dunia termasuk Turki, Afrika Utara, dan Timur Tengah dan, menurut Kaspersky Lab, lokasi utama tempat kode yang terinfeksi ini berada di Italia dan Belgia. Penyerang strategi yang digunakan untuk mengelabui pengguna mengganti dua huruf yang diubah dalam nama domain mereka dan menjaga URL mereka sedekat mungkin dengan situs pemasang asli. Tautan file penginstal kemudian dialihkan ke situs distributor WinRAR yang sah dan ini hanyalah bagian depan WinRAR.

Pada gambar di bawah ini, Anda dapat melihat tombol biru yang telah kami sorot untuk mengalihkan pengguna ke 'ralrabcom' yang membawa korban ke situs perangkat lunak yang rusak, dan dalam beberapa kasus (salah satunya direkam di Italia) di mana pengguna tidak diarahkan ke situs web palsu tetapi ke malware StrongPity itu sendiri.

"Data Kaspersky Lab mengungkapkan bahwa dalam satu minggu, malware yang dikirim dari situs distributor di Italia muncul di ratusan sistem di seluruh Eropa dan Afrika Utara / Timur Tengah, dengan kemungkinan lebih banyak infeksi, " kata perusahaan itu. “Selama seluruh musim panas, Italia (87 persen), Belgia (5 persen) dan Aljazair (4 persen) paling terpengaruh. Geografi korban dari situs yang terinfeksi di Belgia serupa, dengan pengguna di Belgia menyumbang setengah (54 persen) dari lebih dari 60 hit sukses."

Selain itu, malware itu juga dilaporkan mengarahkan pengguna ke laman web yang curang dan korup alih-alih penginstal perangkat lunak TrueCrypt. Meskipun banyak tautan WinRAR yang tercemar telah dihapus, masih ada beberapa pemasang TrueCrypt seperti yang disarankan oleh laporan September Kapersky Labs. Pengembangan untuk TrueCrypt dihentikan dari Mei 2014 setelah Microsoft meninggalkan Windows XP.

Kurt Baumgartner, peneliti keamanan utama di Kaspersky Lab, membandingkan StrongPity dengan Crouching Yeti / Energetic Bear serangan yang mengambil alih dan menginfeksi situs distribusi perangkat lunak otentik. Dia menyebut tren ini sebagai "tidak disukai dan berbahaya" dan mengatakan itu harus segera diatasi.

“Taktik ini adalah tren yang tidak disukai dan berbahaya yang perlu ditangani oleh industri keamanan. Pencarian untuk privasi dan integritas data tidak boleh membuat seseorang terkena kerusakan lubang air ofensif. Serangan waterhole secara inheren tidak tepat, dan kami berharap dapat memacu diskusi seputar perlunya verifikasi yang lebih mudah dan lebih baik dalam pengiriman alat enkripsi, ”kata Kurt Baumgartner.

Yang paling bisa kami lakukan adalah menjaga agar pengguna kami terus diperbarui dan menyarankan mereka untuk menjadi pintar dan berhati-hati saat memasang utilitas karena mereka mungkin mengandung tautan yang menipu. Malware yang merusak seperti StrongPity dapat dengan mudah mengubah PC Anda menjadi mesin yang rusak.