Hakeri iskoristili veću potražnju za alatima za enkripciju za širenje trojanizovanih programa

Vesti, 13.10.2016, 00:00 AM

Hakeri iskoristili veću potražnju za alatima za enkripciju za širenje trojanizovanih programa

Posle Snoudenovih otkrića da je američka Nacionalna bezbednosna agencije godinama špijunirala korisnike interneta, ljudi su počeli da shvataju važnost zaštite privatnosti, što je rezultiralo povećanim interesovanjem za programe i servise za enkripciju.

Jedna grupa hakera iskoristila je to i napravila lažne verzije alata za enkripciju ciljajući korisnike koji traže takve alate.

Delovanje te APT (advanced persistent threat) grupe razotkrili su stručnjaci kompanije Kaspersky Lab koji su hakersku grupu nazvali StrongPity.

Grupa je godinama koristila takozvane "watering-hole" napade, inficirane instalere i malvere za napade na korisnike softvera za enkripciju. Napadi na korisnike događali su se na legitimnim ali kompromitovanim web sajtovima, kao i na sajtovima koje je pokretala grupa ("watering hole").

StrongPity je najviše uspeha imala u Evropi, Severnoj Africi i na Bliskom Istoku, ciljajući one koji su na internetu tražili dva programa za enkripciju: WinRAR i TrueCrypt.

APT grupa StrongPity je lažnim sajtovima koji su bili dobra imitacija legitimnih sajtova za preuzimanje ovih programa uspevala da prevari korisnike da preuzmu maliciozne verzije pomenutih legitimnih programa. Cilj je bio da korisnici preuzmu trojanizovane verzije programa WinRAR ili TrueCrypt, što je hakerima omogućavalo da špijuniraju podataka korisnika pre nego što započne proces enkripcije.

"Problem sa ljudima koji se oslanjaju na alate kao što su ovi nije u jačini enkripcije, već u tome kako se oni distribuiraju"; kaže Kurt Baumgartner, istraživač kompanije Kaspersky Lab dodajući da su hakeri grupe StrongPity iskoristili to.

U jednom slučaju, oni su izmenili dva slova u imenu domena kako bi zavarali korisnike i naveli ih da misle kako su posetili legitimnu stranicu za instaliranje WinRAR softvera. Nakon toga, napadači su postavili link na ovaj maliciozni domen na WinRAR web stranici u Belgiji, pri čemu su zamenili legitiman link sa inficiranim. Kada su korisnici pretraživali stranicu, oni su dolazili do Strong Pity inficiranog paketa za instalaciju. Prvu detekciju uspešnog preusmeravanja kompanija Kaspersky Lab registrovala je 28. maja 2016. godine.

U otprilike isto vreme, 24. maja, stručnjaci kompanije primetili su maliciozne aktivnosti na italijanskoj WinRAR web stranici. U ovom slučaju, korisnici nisu bili preusmeravani na lažnu web stranicu, već su dobijali zahtev za preuzimanje malicioznog Strong Pity paketa za instalaciju direktno sa stranice.

Strong Pity je takođe usmeravao korisnike sa popularnih stranica za deljenje softvera ka True Crypt paketima za instalaciju koji su bili inficirani trojan virusom. Ova aktivnost je i dalje bila aktuelna krajem septembra 2016. godine.

Maliciozni linkovi sa WinRAR distribucionih stranica su uklonjeni, ali je lažna web stranica True Crypt je i dalje bila aktivna krajem septembra.

Podaci kompanije Kaspersky Lab pokazuju da se za samo nedelju dana malver sa distribucione stranice u Italiji pojavio na više stotina sistema širom Evrope, severne Afrike i Bliskog Istoka. Tokom leta, Italija bili su najviše pogođeni ovim napadima. Žrtve sa inficirane stranice u Belgiji su bile u sličnoj situaciji, pri čemu su korisnici iz ove zemlje činili više od polovine uspešnih napada.

Napadi na korisnike preko lažne True Crypt web stranice bili su intenzivirani tokom maja 2016. godine, pri čemu je više od 95% žrtava bilo locirano u Turskoj.

Strong Pity malver uključuje komponente koje daju napadačima potpunu kontrolu nad sistemom žrtve, omogućuje im da kradu sadržaj sa diska kao i da preuzimaju dodatne module kako bi sakupili kontakte. Kompanija Kaspersky Lab je do sada detektovala posete Strong Pity web stranicama i prisustvo Strong Pity komponenti u više od hiljadu ciljanih sistema.

,,Tehnike koje koriste ovi sajber kriminalci su veoma inteligentne. One podsećaju na pristup koji su tokom 2014. godine praktikovali članovi grupe Crouching Yeti (Energetic Bear,) a koji je podrazumevao inficiranje legitimnih paketa za instalaciju softvera za industrijske kontrolne sisteme i kompromitovanje pravih stranica za distribuciju. Prisustvo ovih taktika nije dobro i predstavlja opasan trend koji bezbednosna industrija mora da reši. Želja za privatnošću i inegritetom podataka ne bi trebalo da izloži pojedince posledicama „watering hole“ napada. Ovi napadi su suštinski neprecizni i nadamo se da ćemo pokrenuti dublju raspravu o potrebi za lakšim i poboljšanim načinom dostave ekripcijskih podataka”, izjavo je Kris Baumgartner, bezbednosni istraživač u kompaniji Kaspersky Lab.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Email nalog sa omogućenom verifikacijom u dva koraka je (ponekad) lako hakovati

Email nalog sa omogućenom verifikacijom u dva koraka je (ponekad) lako hakovati

Ako zaboravite vašu lozinku za Gmail a omogućili ste dvofaktornu autentifikaciju (2FA), Google će vam poslati SMS ili vas pozvati i dobićete kod... Dalje

CIA tvrdi da je Huawei dobio sredstva od kineskih obaveštajnih agencija

CIA tvrdi da je Huawei dobio sredstva od kineskih obaveštajnih agencija

Ranije ove godine, Centralna obavještajna agencija (CIA) je obavestila svoje kolege u Australiji, Kanadi, Novom Zelandu i Velikoj Britaniji da je kin... Dalje

Microsoft počeo da prikazuje korisnicima Windowsa 7 upozorenje o ukidanju podrške

Microsoft počeo da prikazuje korisnicima Windowsa 7 upozorenje o ukidanju podrške

Microsoft je počeo da upozorava korisnike Windowsa 7 da se približava kraj podrške koji je zakazan za januar 2020. godine. Nemački sajt DrWindow o... Dalje

Zašto je LastPass odbio da pomogne policiji u slučaju protiv osumnjičenog za prodaju narkotika

Zašto je LastPass odbio da pomogne policiji u slučaju protiv osumnjičenog za prodaju narkotika

Američka Agencija za borbu protiv narkotika (DEA), tražila je od LastPassa, proizvođača jednog od najpopularnijih menadžera lozinki, informacije ... Dalje

Evropska komisija potvrdila da su proizvodi kompanije Kaspersky Lab bezbedni

Evropska komisija potvrdila da su proizvodi kompanije Kaspersky Lab bezbedni

Evropska komisija zvanično je potvrdila da „ne poseduje bilo kakav dokaz o potencijalnim problemima povezanim sa korišćenjem proizvoda kompan... Dalje