StrongPity: El malware que se sirve de WinRar para atrapar usuarios

Según un documento presentado en Virus Bulletin por el analista de seguridad de Kaspersky Lab, Kurt Baumgartner, StrongPity es un nuevo tipo de malware que ha pasado el verano atrayendo a los usuarios de software de cifrado. Entre los más afectados se encuentran usuarios de Italia y Bélgica, aunque Turquía, el norte de África y Oriente Medio también han sido atacados.

El malware StrongPity incluye componentes que dan a los ciberatacantes el control completo del sistema de la víctima, les permiten robar el contenido del disco y también descargar módulos adicionales para recoger las comunicaciones y contactos. Kaspersky Lab ha detectado hasta ahora visitas a sitios StrongPity y la presencia de componentes StrongPity a través de más de un millar de sistemas de destino.

Los ciberatacantes construyeron sitios web fraudulentos donde dirigían a sus víctimas. En algunos casos el cambio se reducía a un par de letras del nombre de dominio real con el fin de parecer un sitio legítimo del instalador de software WinRAR. Se colocó un enlace destacado a este dominio malicioso en la página web del distribuidor WinRAR en Bélgica y cuando los visitantes entraban en el sitio se infectaban. La primera detección de Kaspersky Lab fue el 28 de mayo de 2016.

Casi al mismo tiempo, el 24 de mayo, Kaspersky Lab comenzó a detectar actividad en un sitio malicioso del distribuidor WinRAR italiano. En este caso, sin embargo, los usuarios no se redirigían a un sitio web fraudulento, pero se servían del instalador StrongPity malicioso directamente desde el sitio del distribuidor. StrongPity también dirigió a visitantes desde sitios populares para compartir software con los instaladores de troyanos TrueCrypt. Los enlaces maliciosos desde los sitios del distribuidor WinRAR ahora se han eliminado, pero a finales de septiembre el sitio TrueCrypt fraudulento todavía estaba operativo.

Los datos de Kaspersky Lab revelan que, en el transcurso de una sola semana, el malware entregado desde el sitio del distribuidor en Italia apareció en cientos de sistemas en toda Europa y el norte de África/Oriente Medio, con muchas más infecciones probables. Durante todo el verano, Italia (87%), Bélgica (5%) y Argelia (4%) fueron los lugares más afectados. Los ataques a los usuarios a través del sitio TrueCrypt fraudulento se aceleraron en mayo de 2016, con un 95% de las víctimas localizadas en Turquía.

Muchos usuarios usan herramientas de cifrado, que añaden un extra de seguridad para proteger la información almacenada en los equipos. Pero ahora parece también que buscar este tipo de servicios puede traer consecuencias negativas. StrongPity es un malware que ha estado activo durante los meses de verano, atrayendo a usuarios de programas de cifrado. Kaspersky Lab ha desvelado esta amenaza en su Virus Bulletin, alertando de que se trata de un ataque denominado “watering-hole”. Este nombre, explican desde la firma de seguridad, deriva de una técnica de caza en la que los depredadores se esconden bajo el agua y espera a que su presa se acerque a beber para atacar. En este caso, los cibercriminales investigan cuáles son las webs que más podrían interesar a sus potenciales víctimas y buscan vulnerabilidades para explotarlas.

StrongPity funciona como una APT (Amenaza persistente avanzada) que tiene como objetivo usuarios que buscan herramientas de cifrado como WinRAR o TrueCrypt. Este malware incluye componentes que ofrecen a los ciberdelincuentes el control del dispositivo de la víctima una vez que se ha infectado. De esta forma, puede acceder al contenido e incluso descargar módulos extra que les permiten interceptar las comunicaciones.

Los atacantes construyeron webs fraudulentas donde dirigían a sus víctimas. En algunos casos simplemente alteraban dos de letras del dominio real para que se confundiera con el sitio legítimo, en este caso del instalador del software WinRAR. Cuando los visitantes entraban en el sitio, se infectaban. La firma de seguridad afirma que estos enlaces maliciosos desde los sitios del distribuidor de WinRAR se han eliminado, pero a finales de septiembre, el sitio TrueCrypt fraudulento todavía estaba operativo.