Hakeri iskoristili veću potražnju za alatima za enkripciju za širenje trojanizovanih programa

Vesti, 13.10.2016, 00:00 AM

Hakeri iskoristili veću potražnju za alatima za enkripciju za širenje trojanizovanih programa

Posle Snoudenovih otkrića da je američka Nacionalna bezbednosna agencije godinama špijunirala korisnike interneta, ljudi su počeli da shvataju važnost zaštite privatnosti, što je rezultiralo povećanim interesovanjem za programe i servise za enkripciju.

Jedna grupa hakera iskoristila je to i napravila lažne verzije alata za enkripciju ciljajući korisnike koji traže takve alate.

Delovanje te APT (advanced persistent threat) grupe razotkrili su stručnjaci kompanije Kaspersky Lab koji su hakersku grupu nazvali StrongPity.

Grupa je godinama koristila takozvane "watering-hole" napade, inficirane instalere i malvere za napade na korisnike softvera za enkripciju. Napadi na korisnike događali su se na legitimnim ali kompromitovanim web sajtovima, kao i na sajtovima koje je pokretala grupa ("watering hole").

StrongPity je najviše uspeha imala u Evropi, Severnoj Africi i na Bliskom Istoku, ciljajući one koji su na internetu tražili dva programa za enkripciju: WinRAR i TrueCrypt.

APT grupa StrongPity je lažnim sajtovima koji su bili dobra imitacija legitimnih sajtova za preuzimanje ovih programa uspevala da prevari korisnike da preuzmu maliciozne verzije pomenutih legitimnih programa. Cilj je bio da korisnici preuzmu trojanizovane verzije programa WinRAR ili TrueCrypt, što je hakerima omogućavalo da špijuniraju podataka korisnika pre nego što započne proces enkripcije.

"Problem sa ljudima koji se oslanjaju na alate kao što su ovi nije u jačini enkripcije, već u tome kako se oni distribuiraju"; kaže Kurt Baumgartner, istraživač kompanije Kaspersky Lab dodajući da su hakeri grupe StrongPity iskoristili to.

U jednom slučaju, oni su izmenili dva slova u imenu domena kako bi zavarali korisnike i naveli ih da misle kako su posetili legitimnu stranicu za instaliranje WinRAR softvera. Nakon toga, napadači su postavili link na ovaj maliciozni domen na WinRAR web stranici u Belgiji, pri čemu su zamenili legitiman link sa inficiranim. Kada su korisnici pretraživali stranicu, oni su dolazili do Strong Pity inficiranog paketa za instalaciju. Prvu detekciju uspešnog preusmeravanja kompanija Kaspersky Lab registrovala je 28. maja 2016. godine.

U otprilike isto vreme, 24. maja, stručnjaci kompanije primetili su maliciozne aktivnosti na italijanskoj WinRAR web stranici. U ovom slučaju, korisnici nisu bili preusmeravani na lažnu web stranicu, već su dobijali zahtev za preuzimanje malicioznog Strong Pity paketa za instalaciju direktno sa stranice.

Strong Pity je takođe usmeravao korisnike sa popularnih stranica za deljenje softvera ka True Crypt paketima za instalaciju koji su bili inficirani trojan virusom. Ova aktivnost je i dalje bila aktuelna krajem septembra 2016. godine.

Maliciozni linkovi sa WinRAR distribucionih stranica su uklonjeni, ali je lažna web stranica True Crypt je i dalje bila aktivna krajem septembra.

Podaci kompanije Kaspersky Lab pokazuju da se za samo nedelju dana malver sa distribucione stranice u Italiji pojavio na više stotina sistema širom Evrope, severne Afrike i Bliskog Istoka. Tokom leta, Italija bili su najviše pogođeni ovim napadima. Žrtve sa inficirane stranice u Belgiji su bile u sličnoj situaciji, pri čemu su korisnici iz ove zemlje činili više od polovine uspešnih napada.

Napadi na korisnike preko lažne True Crypt web stranice bili su intenzivirani tokom maja 2016. godine, pri čemu je više od 95% žrtava bilo locirano u Turskoj.

Strong Pity malver uključuje komponente koje daju napadačima potpunu kontrolu nad sistemom žrtve, omogućuje im da kradu sadržaj sa diska kao i da preuzimaju dodatne module kako bi sakupili kontakte. Kompanija Kaspersky Lab je do sada detektovala posete Strong Pity web stranicama i prisustvo Strong Pity komponenti u više od hiljadu ciljanih sistema.

,,Tehnike koje koriste ovi sajber kriminalci su veoma inteligentne. One podsećaju na pristup koji su tokom 2014. godine praktikovali članovi grupe Crouching Yeti (Energetic Bear,) a koji je podrazumevao inficiranje legitimnih paketa za instalaciju softvera za industrijske kontrolne sisteme i kompromitovanje pravih stranica za distribuciju. Prisustvo ovih taktika nije dobro i predstavlja opasan trend koji bezbednosna industrija mora da reši. Želja za privatnošću i inegritetom podataka ne bi trebalo da izloži pojedince posledicama „watering hole“ napada. Ovi napadi su suštinski neprecizni i nadamo se da ćemo pokrenuti dublju raspravu o potrebi za lakšim i poboljšanim načinom dostave ekripcijskih podataka”, izjavo je Kris Baumgartner, bezbednosni istraživač u kompaniji Kaspersky Lab.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Korisnici iPhonea mete napada upitima za resetovanje lozinke

Korisnici iPhonea mete napada upitima za resetovanje lozinke

Sofisticirana phishing kampanja koja cilja korisnike iPhonea poslednjih meseci ukazala je na slabost u Appleovom mehanizmu za resetovanje lozinke. Pre... Dalje

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka je upozorila korisnike da su se na društvenim mrežama pojavili lažni profili koji koriste ime i logo Mobi Banke i pozivaju korisnike da,... Dalje

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Ranije ovog meseca, Google je počeo da uvodi novu funkciju pod nazivom Google Search Generative Experience (SGE) u rezultate pretrage, koja pruža br... Dalje

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Stručnjaci kompanije Kaspersky upozorili su na alarmantan trend pojave fišing stranica koje se predstavljaju kao sajtovi legitimnih prodavaca koji n... Dalje

Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji

Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji

Kancelarija za kontrolu strane imovine američkog Ministarstva finansija (OFAC) sankcionisala je tri berze kriptovaluta zbog nuđenja usluga koje se k... Dalje