StrongPity, un malware que atrapa a miles de usuarios que buscan cifrado

StrongPity es un agente de amenaza sigiloso que ha pasado el verano atrayendo a los usuarios de software de cifrado a su watering-hole, según un documento presentado en Virus Bulletin por el analista de seguridad de Kaspersky Lab, Kurt Baumgartner. Los más afectados han sido los usuarios de Italia y Bélgica, pero Turquía, el norte de África y Oriente Medio también fueron atacados.

kaspersky

StrongPity es una APT enfocada en el cifrado de datos y comunicaciones. Se ha observado una escalada significativa en sus ataques a los usuarios que buscan dos herramientas de cifrado: los documentos WinRAR y el cifrado del sistema TrueCrypt.

El malware StrongPity incluye componentes que dan a los ciberatacantes el control completo del sistema de la víctima, les permiten robar el contenido del disco y también descargar módulos adicionales para recoger las comunicaciones y contactos. Kaspersky Lab ha detectado hasta ahora visitas a sitios StrongPity y la presencia de componentes StrongPity a través de más de un millar de sistemas de destino.

El nombre watering-hole deriva de una técnica de caza en la que algunos depredadores se esconden bajo el agua y esperan a que su presa se acerque a beber agua para atacarla. De la misma manera, un cibercriminal valora cuáles son las páginas web que podrían interesar a sus objetivos y buscan vulnerabilidades que explotar.

Los ciberatacantes construyeron sitios web fraudulentos donde dirigían a sus víctimas. En algunos casos el cambio se reducía a un par de letras del nombre de dominio real con el fin de parecer un sitio legítimo del instalador de software WinRAR. Se colocó un enlace destacado a este dominio malicioso en la página web del distribuidor WinRAR en Bélgica y cuando los visitantes entraban en el sitio se infectaban. La primera detección de Kaspersky Lab fue el 28 de mayo de 2016.

Casi al mismo tiempo, el 24 de mayo, Kaspersky Lab comenzó a detectar actividad en un sitio malicioso del distribuidor WinRAR italiano. En este caso, sin embargo, los usuarios no se redirigían a un sitio web fraudulento, pero se servían del instalador StrongPity malicioso directamente desde el sitio del distribuidor. StrongPity también dirigió a visitantes desde sitios populares para compartir software con los instaladores de troyanos TrueCrypt.

Los enlaces maliciosos desde los sitios del distribuidor WinRAR ahora se han eliminado, pero a finales de septiembre el sitio TrueCrypt fraudulento todavía estaba operativo.

Los datos de Kaspersky Lab revelan que, en el transcurso de una sola semana, el malware entregado desde el sitio del distribuidor en Italia apareció en cientos de sistemas en toda Europa y el norte de África/Oriente Medio, con muchas más infecciones probables. Durante todo el verano, Italia (87%), Bélgica (5%) y Argelia (4%) fueron los más afectados. Los ataques a los usuarios a través del sitio TrueCrypt fraudulento se aceleraron en mayo de 2016, con un 95% de las víctimas localizadas en Turquía.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper