Το StrongPity είναι ένας τεχνικά ικανός φορέας επιθέσεων τύπου APT, που ενδιαφέρεται για κρυπτογραφημένα δεδομένα και επικοινωνίες. Κατά τη διάρκεια των τελευταίων μηνών, η Kaspersky Lab παρατήρησε μια σημαντική κλιμάκωση των επιθέσεων του σε χρήστες που αναζητούν δύο πολύ σημαντικά εργαλεία κρυπτογράφησης: το αρχείο WinRAR και το σύστημα κρυπτογράφησης TrueCrypt.
Το κακόβουλο λογισμικό StrongPity περιλαμβάνει στοιχεία που δίνουν στους επιτιθέμενους τον πλήρη έλεγχο του συστήματος του θύματος. Ουσιαστικά τους δίνει τη δυνατότητα να κλέψουν το περιεχόμενο του δίσκου αλλά και να «κατεβάσουν» πρόσθετες μονάδες για να συγκεντρώσουν επικοινωνίες και επαφές. Η Kaspersky Lab έχει μέχρι στιγμής εντοπίσει επισκέψεις σε ιστότοπους του StrongPity και την παρουσία εργαλείων του σε περισσότερα από χίλια συστήματα-στόχους.
«Watering holes» και «μολυσμένα» προγράμματα εγκατάστασης
Για να παγιδεύσουν τα θύματα τους, οι επιτιθέμενοι έφτιαξαν ψεύτικες ιστοσελίδες. Στη μία περίπτωση, μετέφεραν δύο γράμματα σε ένα domain name για να ξεγελάσουν τους πελάτες νομίζοντας ότι ήταν ένας επίσημος ιστότοπος εγκατάστασης του λογισμικού WinRAR. Στη συνέχεια, τοποθέτησαν έναν περίοπτο σύνδεσμο σε μία τοποθεσία διανομής WinRAR στο Βέλγιο, προφανώς αντικαθιστώντας τον «προτεινόμενο» σύνδεσμο της ιστοσελίδας με εκείνη του κακόβουλου domain. Καθώς οι επισκέπτες πλοηγούνταν σε αυτή την ιστοσελίδα, αυτό οδηγούσε τους ανυποψίαστους χρήστες στο «μολυσμένο» πρόγραμμα εγκατάστασης του StrongPity. Η πρώτη ανίχνευση επιτυχημένης ανακατεύθυνσης από την Kaspersky Lab έγινε στις 28 Μαΐου 2016.
Σχεδόν παράλληλα, στις 24 Μαΐου, η Kaspersky Lab άρχισε να εντοπίζει μία κακόβουλη δραστηριότητα σε μια ιταλική ιστοσελίδα διανομής WinRAR. Στην περίπτωση αυτή, ωστόσο, οι χρήστες δεν ανακατευθύνονταν σε μια απατηλή ιστοσελίδα, αλλά δέχονταν το κακόβουλο πρόγραμμα εγκατάστασης του StrongPity απευθείας από την ιστοσελίδα του διανομέα.
Το StrongPity ανακατεύθυνε επίσης επισκέπτες δημοφιλών ιστοσελίδων με δωρεάν λογισμικό στα προγράμματα εγκατάστασης του TrueCrypt που είχαν «μολυνθεί» από Trojan. Η δραστηριότητα αυτή βρισκόταν ακόμα σε εξέλιξη στα τέλη Σεπτεμβρίου.
Οι κακόβουλες συνδέσεις από τις ιστοσελίδες διανομής WinRAR έχουν πλέον αρθεί, αλλά μέχρι και το τέλος του Σεπτεμβρίου η κακόβουλη ιστοσελίδα TrueCrypt λειτουργούσε ακόμα.
Γεωγραφία των επιθέσεων
Τα δεδομένα της Kaspersky Lab αποκαλύπτουν ότι μέσα σε μία εβδομάδα το κακόβουλο λογισμικό που παρέχεται από την ιστοσελίδα του διανομέα στην Ιταλία εμφανίστηκε σε εκατοντάδες συστήματα σε όλη την Ευρώπη και τη Βόρεια Αφρική/Μέση Ανατολή, με πολλές περισσότερες πιθανές «μολύνσεις». Κατά τη διάρκεια του καλοκαιριού, η Ιταλία (87%), το Βέλγιο (5%) και η Αλγερία (4%) επλήγησαν περισσότερο. Η γεωγραφία των θυμάτων από το «μολυσμένο» ιστότοπο στο Βέλγιο ήταν παρόμοια, με τους χρήστες στο Βέλγιο να αντιπροσωπεύουν το ήμισυ (54%), με πάνω από 60 επιτυχημένες επιθέσεις. Οι επιθέσεις σε χρήστες μέσω της δόλιας ιστοσελίδας TrueCrypt φτάνουν μέχρι και το Μάιο του 2016, με το 95% των θυμάτων να βρίσκεται στην Τουρκία.