카스퍼 스키 랩의 보안 팀은 합법적 인 WinRAR 및 TrueCrypt 파일을 손상시키는 것으로 알려진 StrongPity라는 새로 발견 된 맬웨어를 발견했습니다.

WinRAR은 Windows에서 파일을 보관하고 압축 및 추출을 처리하는 데 가장 적합한 서비스 중 하나이며 TrueCrypt는 중단 된 즉석 암호화 도구입니다. StrongPity는 해당 소프트웨어의 설치 자로 위장하고 모든 권한을 얻어 컴퓨터를 대상으로합니다. 또한 파일을 훔치거나 손상 시키거나 시스템에 새 모듈을 다운로드 할 수도 있습니다.

이 악성 코드는 터키, 북아프리카 및 중동을 포함한 전 세계 위치에서 발견되었으며 카스퍼 스키 랩에 따르면이 감염된 코드가있는 주요 위치는 이탈리아와 벨기에에 있습니다. 공격자가 사용자를 속이는 데 사용하는 전략은 도메인 이름에서 바뀐 두 글자를 바꾸고 가능한 한 실제 설치 프로그램 사이트에 URL을 유지하는 것입니다. 그런 다음 설치 관리자의 파일 링크가 합법적 인 WinRAR 배포자 사이트로 리디렉션되며 이는 WinRAR 전선에 불과합니다.

아래 이미지에서 강조 표시된 파란색 버튼을 발견하여 사용자가 'ralrabcom'으로 이동하여 손상된 소프트웨어 사이트로 피해자를 데려가거나 일부 경우 (이탈리아 중 하나는 사용자가 기록되지 않은) 가짜 웹 사이트가 아닌 StrongPity 악성 코드 자체를 대상으로합니다.

"Kaspersky Lab 데이터에 따르면 1 주일 동안 이탈리아의 배포자 사이트에서 제공되는 맬웨어가 유럽과 북아프리카 / 중동에 걸쳐 수백 개의 시스템에 나타 났으며 더 많은 감염 가능성이 있음을 알 수있었습니다." “여름 내내 이탈리아 (87 %), 벨기에 (5 %) 및 알제리 (4 %)가 가장 큰 영향을 받았습니다. 벨기에의 감염된 지역의 피해자 지역은 비슷했으며 벨기에 사용자는 60 번 이상 성공한 경우의 절반 (54 %)을 차지했습니다.”

그 외에도이 악성 코드는 사용자에게 TrueCrypt 소프트웨어 설치 프로그램 대신기만적이고 손상된 웹 페이지를 지시하는 것으로보고되었습니다. 오염 된 WinRAR 링크 중 많은 부분이 제거되었지만 Kapersky Labs의 9 월 보고서에서 제안한대로 TrueCrypt 설치 프로그램이 여전히 남아 있습니다. Microsoft가 Windows XP를 포기한 후 2014 년 5 월부터 TrueCrypt에 대한 개발이 중단되었습니다.

Kaspersky Lab의 주요 보안 연구원 인 Kurt Baumgartner는 StrongPity를 정통 소프트웨어 배포 웹 사이트를 인수하고 감염시킨 Crouching Yeti / Energetic Bear 공격과 비교합니다. 그는이 경향을“환영하지 않고 위험하다”고 말하며 즉시 해결해야한다고 말합니다.

“이러한 전술은 보안 산업이 해결해야 할 불쾌하고 위험한 추세입니다. 개인 정보 보호 및 데이터 무결성을 검색 할 때 개인이 공격적인 흠집에 노출되어서는 안됩니다. 워터 홀 공격은 본질적으로 부정확하며 암호화 툴 제공에 대한보다 쉽고 개선 된 검증의 필요성에 대한 논의를 촉진하고자합니다.”라고 Kurt Baumgartner는 말했습니다.

우리가 할 수있는 최선의 방법은 사용자를 최신 상태로 유지하고기만적인 링크를 포함 할 수있는 유틸리티를 설치하는 동안 사용자가 현명하고 신중하도록 조언하는 것입니다. StrongPity와 같은 파괴적인 맬웨어는 PC를 손상된 컴퓨터로 쉽게 바꿀 수 있습니다.