Secondo un’indagine presentata al Virus Bulletin dal ricercatore di Kaspersky Lab Kurt Baumgartner, una minaccia nascosta, conosciuta come StrongPity, ha passato l’estate ad attirare gli utenti di software di crittografia nei propri watering-hole e installer infetti. Gli utenti in Italia e in Belgio sono stati i più colpiti, ma molte persone hanno subito attacchi anche in Turchia, Nord Africa e Medio Oriente.
StrongPity è un’APT tecnicamente avanzata e interessata a dati e comunicazioni criptati. Negli ultimi mesi, Kaspersky Lab ha osservato un forte aumento degli attacchi nei confronti di utenti alla ricerca di due tool di crittografia legittimi: documenti WinRAR e sistemi di crittografia TrueCrypt.
Il malware StrongPity include componenti che danno agli hacker il completo controllo del sistema della vittima, permettendo di rubare i contenuti dei dischi e scaricare moduli aggiuntivi per ottenere comunicazioni e contatti. Kaspersky Lab ha finora individuato visite ai siti di StrongPity e la presenza di componenti StrongPity in oltre un migliaio di sistemi target.
Watering-hole e installer infetti
Per ingannare le vittime, gli hacker hanno creato finti siti web. In un caso, hanno trasposto due lettere nel nome del dominio per convincere gli utenti che fosse un sito legittimo di installazione del software WinRAR. Dopodiché, hanno collegato un link importante a questo dominio dannoso su un sito di distribuzione WinRAR in Belgio, apparentemente sostituendo il link “consigliato” dal sito con quello del dominio nocivo. Quando gli utenti visitavano il sito, questo li rimandava all’installer infetto di StrongPity. Kaspersky Lab ha rilevato il primo reindirizzamento nocivo andato a buon fine il 28 maggio 2016.
Quasi contemporaneamente, il 24 maggio, Kaspersky Lab ha iniziato a notare attività sospette su un sito italiano di distribuzione di WinRAR. In questo caso, tuttavia, gli utenti non venivano reindirizzati ad un sito fraudolento ma ottenevano direttamente l’installer dannoso StrongPity dal sito distributore.
Inoltre, StrongPity indirizzava i visitatori da siti noti di software-sharing agli installer TrueCrypt “trojanizzati”.
I link dannosi dai siti di distribuzione di WinRAR sono stati rimossi, ma alla fine di settembre il sito nocivo di TrueCrypt era ancora in piedi.
Geografia dei bersagli
I dati di Kaspersky Lab rivelano che nel corso di una sola settimana, il malware partito dal sito di distribuzione in Italia è apparso su centinaia di sistemi in tutta Europa e in Nord Africa/Medio Oriente, con probabilmente molte più infezioni. I Paesi più colpiti durante l’estate sono stati Italia (87%), Belgio (5%) e Algeria (4%). La geografia delle vittime del sito danneggiato in Belgio era simile, registrando la metà (54%) di più di 60 attacchi andati a buon fine.
Gli attacchi agli utenti attraverso il sito TrueCrypt sono aumentati vertiginosamente a maggio 2016, arrivando al 95% di vittime colpite in Turchia.
“Le tecniche utilizzate da questa minaccia sono molto ingegnose e ricordano l’approccio usato all’inizio del 2014 dall’APT Crouching Yeti/Energetic Bear, che prevedeva l’installazione di trojan negli installer dei software IT legittimi per sistemi di controllo industriale e compromettendo così siti di distribuzione autentici. Queste tattiche sono un trend pericoloso che l’industria della sicurezza deve affrontare. La ricerca di privacy e integrità dei dati non dovrebbe esporre le persone a danni dovuti ad attacchi water-hole. Questo tipo di attacchi è intrinsecamente impreciso e speriamo di portare alla luce la necessità di verifiche più semplici e migliori dell’encryption tool delivery”, ha affermato Kurt Baumgarten, Principal Security Researcher di Kaspersky Lab.