Fran 🐝 Brizzolis en Informáticos, Telecomunicaciones e Informática, Informática y Tecnología Global Brand Ambassador • beBee Affinity Social Network 15/10/2016 · 2 min de lectura · +400

StrongPity: El malware que se sirve de WinRar para atrapar usuarios



StrongPity: El malware que se sirve de WinRar para atrapar usuarios


Según un documento presentado en Virus Bulletin por el analista de seguridad de Kaspersky Lab, Kurt Baumgartner, StrongPity es un nuevo tipo de malware que ha pasado el verano atrayendo a los usuarios de software de cifrado. Entre los más afectados se encuentran usuarios de Italia y Bélgica, aunque Turquía, el norte de África y Oriente Medio también han sido atacados.

El malware StrongPity incluye componentes que dan a los ciberatacantes el control completo del sistema de la víctima, les permiten robar el contenido del disco y también descargar módulos adicionales para recoger las comunicaciones y contactos. Kaspersky Lab ha detectado hasta ahora visitas a sitios StrongPity y la presencia de componentes StrongPity a través de más de un millar de sistemas de destino.

Los ciberatacantes construyeron sitios web fraudulentos donde dirigían a sus víctimas. En algunos casos el cambio se reducía a un par de letras del nombre de dominio real con el fin de parecer un sitio legítimo del instalador de software WinRAR. Se colocó un enlace destacado a este dominio malicioso en la página web del distribuidor WinRAR en Bélgica y cuando los visitantes entraban en el sitio se infectaban. La primera detección de Kaspersky Lab fue el 28 de mayo de 2016.

Casi al mismo tiempo, el 24 de mayo, Kaspersky Lab comenzó a detectar actividad en un sitio malicioso del distribuidor WinRAR italiano. En este caso, sin embargo, los usuarios no se redirigían a un sitio web fraudulento, pero se servían del instalador StrongPity malicioso directamente desde el sitio del distribuidor. StrongPity también dirigió a visitantes desde sitios populares para compartir software con los instaladores de troyanos TrueCrypt. Los enlaces maliciosos desde los sitios del distribuidor WinRAR ahora se han eliminado, pero a finales de septiembre el sitio TrueCrypt fraudulento todavía estaba operativo.

Los datos de Kaspersky Lab revelan que, en el transcurso de una sola semana, el malware entregado desde el sitio del distribuidor en Italia apareció en cientos de sistemas en toda Europa y el norte de África/Oriente Medio, con muchas más infecciones probables. Durante todo el verano, Italia (87%), Bélgica (5%) y Argelia (4%) fueron los lugares más afectados. Los ataques a los usuarios a travé