Grupo de ataque APT StrongPity Piquero – WinRAR y descarga TrueCrypt

0
148

Kaspersky Lab reveló un grupo de amenaza avanzada persistente (APT) que así se centra en datos codificados y comunicaciones que ha sido objetivo y contaminar crypto descargas. Por infectar a los usuarios antes de cifrado, los atacantes podrían espiar datos cifrados.

Aunque StrongPity, que ha logrado evadir la detección por varios años, es técnicamente avanzado y sigiloso, investigador de seguridad de Kaspersky Lab Kurt Baumgartner, aka genial, también denominado grupo de “bastante imprudente e innovador”.

Como otros grupos APT, StrongPity ha usado cero días, ingeniería social, spearphishing tácticas y herramientas de ataque modular, pero este verano lo afilado con piedra en las herramientas de cifrado TrueCypt y WinRAR.

Kaspersky Lab señaló, “Mientras que aguadas y envenenado los instaladores son tácticas que han utilizado con eficacia por otros APT, nunca hemos visto el mismo enfoque en software de cifrado.”

Para sus ataques de abrevadero de WinRAR, StrongPity configurar el ralrab de nombre de dominio [.] com, que está cerca el legítimo WinRAR sitio rarlab.com. Entonces substituyó los links de descarga en los sitios legítimos y populares con los enlaces que redirigen usuarios a instaladores de WinRAR envenenados en el dominio llamado cerca del grupo.

Aunque las tácticas para infectar a los usuarios con troyanos WinRAR versiones variaron ligeramente en diferentes países, esas tácticas siguieron el mismo patrón. Baumgartner explicó este ejemplo, “el botón recomendado azul grande (aquí en francés) relacionados con el instalador malicioso, mientras que todos los enlaces en la página dirigida a software legítimo.”

Grupo de ataque APT StrongPity Piquero – WinRAR y descarga TrueCrypt Kaspersky Lab

WinRAR recomendado enlace hacia la versión de WinRAR sitio y troyanos maliciosa.

El grupo tiró trucos similares para infectar a usuarios que buscan para descargar TrueCrypt, redirigir los visitantes de un sitio de software de agregación del sitio de “arrancó y persuasivo” controlado por el atacante. Kaspersky Lab ha señalado, «el sitio de Truecrypt StrongPity controlada es un ripeo completo del sitio legítimo, ahora conducido por Sourceforge.»

Kaspersky Lab detecta seis goteros de malware utilizados en ataques de abrevadero de WinRAR. El malware de gotero se firmó con “certificados digitales inusuales”, pero el grupo de ataque no volver a utilizar sus falsos certificados digitales. Se instalaría el software WinRAR real así como malware dando StrongPity capacidades backdoor y espionaje.

StrongPity APT malware contenido stealers keyloggers y datos como para sacar con pala encima de contactos y comunicaciones. Sin embargo como prueba adicional de “los intereses del grupo de usuarios más basadas en el cifrado de paquetes de software,” su paquete de malware estaba configurado para buscar el siguiente software crypto-relacionadas:

  • PuTTY.exe (un cliente SSH de windows)
  • FileZilla.exe (soporta subidas FTP)
  • winscp.exe (unas Windows seguro copia solicitud, proporcionando cifrado y seguro de transferencia de archivos)
  • mstsc.exe (cliente de escritorio remoto de Windows, proporcionando una conexión cifrada a sistemas remotos)
  • mRemoteNG.exe (un gestor de conexiones remotas SSH, RDP y otros protocolos de cifrado de apoyo)

Más de 1.000 sistemas infectados con malware APT StrongPity en todo el mundo

Durante poco más de una semana en el verano, «malware de winrar.it apareció en más de 600 sistemas a lo largo de Europa, norte de África y Oriente Medio». Principales países golpeó con StrongPity malware fueron Italia, Bélgica y Argelia.

Los ataques de abrevadero de TrueCrypt comenzaron en el último año 2015, pero StrongPity intensificado su actividad en verano a finales de septiembre de 2016. La mayoría de las víctimas fueron en Turquía, aunque algunos sistemas en los países bajos estaban infectados también.

En total, entre las descargas WinRAR y TrueCrypt contaminadas, había sobre 1.000 sistemas infectados con malware de StrongPity durante el verano de 2016.

Grupo de ataque APT StrongPity Piquero – WinRAR y descarga TrueCrypt Kaspersky Lab

Más de 1.000 sistemas infectados con malware de StrongPity durante el verano de 2016.

El problema no es software crypto; de hecho, cuando TrueCrypt y WinRAR son utilizados juntos, un “cifrado de extremo a extremo del pobre puede mantenerse gratis.” El problema es cómo el software crypto está siendo distribuido, ya que todos la criptografía en el mundo no le ayudará si los malos pueden llegar snoop antes de que se produce el cifrado.

Baumgartner concluyó:

Cuándo visitar sitios y descargar software de cifrado, se ha convertido en necesario verificar la validez del sitio de distribución y la integridad del archivo descargado sí mismo. Descargar sitios no usando PGP o código digital fuerte firma certificados necesitan volver a examinar la necesidad de hacerlo para sus propios clientes. Hemos visto otros APT como Yeti agacharse y Darkhotel distribuyen instaladores envenenados y envenenado código ejecutable, luego redistribuirlos a través de tácticas similares y sobre las redes P2P. Que surgen más simples sistemas de verificación que el lote actual de aplicaciones PGP y SSL para ser adoptado en números más grandes. Hasta entonces, fuerte anti-malware y soluciones dinámicas listas blancas será más necesarias que nunca.

Grupo de ataque APT StrongPity Piquero – WinRAR y descarga TrueCrypt

Credit:

Pixabay

LEAVE A REPLY