StrongPity, el watering-hole que atrapa a miles de usuarios que buscan cifrado
Comunicaciones Hoy14/10/2016
StrongPity es un agente de amenaza sigiloso que ha pasado el verano atrayendo a los usuarios de software de cifrado a su watering-hole, según un documento presentado en Virus Bulletin por el analista de seguridad de Kaspersky Lab, Kurt Baumgartner. Los más afectados han sido los usuarios de Italia y Bélgica, pero Turquía, el norte de África y Oriente Medio también se vieron atacados.
El nombre watering-hole deriva de una técnica de caza en la que algunos depredadores se esconden bajo el agua y esperan a que su presa se acerque a beber agua para atacarla. De la misma manera, un cibercriminal valora cuáles son las páginas web que podrían interesar a sus objetivos y buscan vulnerabilidades que explotar.
StrongPity es una APT enfocada en el cifrado de datos y comunicaciones. En los últimos meses, Kaspersky Lab ha observado una escalada significativa en sus ataques a usuarios en busca de dos herramientas de cifrado con muy buena reputación: los documentos WinRAR y el cifrado del sistema TrueCrypt.
El malware StrongPity incluye componentes que dan a los ciberatacantes el control completo del sistema de la víctima, les permite robar el contenido del disco y también descargar módulos adicionales para recoger las comunicaciones y contactos. Kaspersky Lab ha detectado hasta ahora visitas a sitios StrongPity y la presencia de componentes StrongPity a través de más de un millar de sistemas de destino.
Watering-hole e instaladores envenenados
Los ciberatacantes construyeron sitios web fraudulentos donde dirigían a sus víctimas. En algunos casos el cambio se reducía a un par de letras del nombre de dominio real con el fin de parecer un sitio legítimo del instalador de software WinRAR. Se colocó un enlace destacado a este dominio malicioso en la página web del distribuidor WinRAR en Bélgica. Cuando los visitantes entraban en el sitio se infectaban. La primera detección de Kaspersky Lab fue el 28 de mayo de 2016.
Casi al mismo tiempo, el 24 de mayo, Kaspersky Lab comenzó a detectar actividad en un sitio malicioso del distribuidor WinRAR italiano. En este caso, sin embargo, los usuarios no se redirigían a un sitio web fraudulento, pero se servían del instalador StrongPity malicioso directamente desde el sitio del distribuidor. StrongPity también dirigió a visitantes desde sitios populares para compartir software con los instaladores de troyanos TrueCrypt. Esta actividad estaba todavía en curso a finales de septiembre.
Los enlaces maliciosos desde los sitios del distribuidor WinRAR ahora se han eliminado, pero a finales de septiembre el sitio TrueCrypt fraudulento todavía estaba operativo.
Geografía de los afectados
Los datos de Kaspersky Lab revelan que en el transcurso de una sola semana, el malware entregado desde el sitio del distribuidor en Italia apareció en cientos de sistemas en toda Europa y el norte de África/Oriente Medio, con muchas más infecciones probables. Durante todo el verano, Italia (87%), Bélgica (5%) y Argelia (4%) fueron los más afectados. Los ataques a los usuarios a través del sitio TrueCrypt fraudulento se aceleraron en mayo de 2016, con un 95% de las víctimas localizadas en Turquía.
"Las técnicas empleadas por este actor amenaza son bastante inteligentes. Se asemejan a la aproximación realizada a principios de 2014 por la APT Crouching Yeti/Energetic Bear, que involucró a instaladores de software legítimos troyanizados en sistemas de control industrial y comprometió sitios de distribución reales. Estas tácticas son ejemplo de una tendencia que la industria de la ciberseguridad tiene que abordar. La búsqueda de la privacidad y la integridad de los datos no deberían exponer a una persona a los daños que le puede producir el watering-hole. Esperamos que estos ataques sirvan para activar el debate sobre la importancia de la verificación en las herramientas de cifrado", afirma Kurt Baumgartner, analista de Kaspersky Lab.
Kaspersky Lab detecta todos los componentes StrongPity como: HEUR: Trojan.Win32.StrongPity.gen y Trojan.Win32.StrongPity y como otras detecciones genéricas.
El nombre watering-hole deriva de una técnica de caza en la que algunos depredadores se esconden bajo el agua y esperan a que su presa se acerque a beber agua para atacarla. De la misma manera, un cibercriminal valora cuáles son las páginas web que podrían interesar a sus objetivos y buscan vulnerabilidades que explotar.
StrongPity es una APT enfocada en el cifrado de datos y comunicaciones. En los últimos meses, Kaspersky Lab ha observado una escalada significativa en sus ataques a usuarios en busca de dos herramientas de cifrado con muy buena reputación: los documentos WinRAR y el cifrado del sistema TrueCrypt.
El malware StrongPity incluye componentes que dan a los ciberatacantes el control completo del sistema de la víctima, les permite robar el contenido del disco y también descargar módulos adicionales para recoger las comunicaciones y contactos. Kaspersky Lab ha detectado hasta ahora visitas a sitios StrongPity y la presencia de componentes StrongPity a través de más de un millar de sistemas de destino.
Watering-hole e instaladores envenenados
Los ciberatacantes construyeron sitios web fraudulentos donde dirigían a sus víctimas. En algunos casos el cambio se reducía a un par de letras del nombre de dominio real con el fin de parecer un sitio legítimo del instalador de software WinRAR. Se colocó un enlace destacado a este dominio malicioso en la página web del distribuidor WinRAR en Bélgica. Cuando los visitantes entraban en el sitio se infectaban. La primera detección de Kaspersky Lab fue el 28 de mayo de 2016.
Casi al mismo tiempo, el 24 de mayo, Kaspersky Lab comenzó a detectar actividad en un sitio malicioso del distribuidor WinRAR italiano. En este caso, sin embargo, los usuarios no se redirigían a un sitio web fraudulento, pero se servían del instalador StrongPity malicioso directamente desde el sitio del distribuidor. StrongPity también dirigió a visitantes desde sitios populares para compartir software con los instaladores de troyanos TrueCrypt. Esta actividad estaba todavía en curso a finales de septiembre.
Los enlaces maliciosos desde los sitios del distribuidor WinRAR ahora se han eliminado, pero a finales de septiembre el sitio TrueCrypt fraudulento todavía estaba operativo.
Geografía de los afectados
Los datos de Kaspersky Lab revelan que en el transcurso de una sola semana, el malware entregado desde el sitio del distribuidor en Italia apareció en cientos de sistemas en toda Europa y el norte de África/Oriente Medio, con muchas más infecciones probables. Durante todo el verano, Italia (87%), Bélgica (5%) y Argelia (4%) fueron los más afectados. Los ataques a los usuarios a través del sitio TrueCrypt fraudulento se aceleraron en mayo de 2016, con un 95% de las víctimas localizadas en Turquía.
"Las técnicas empleadas por este actor amenaza son bastante inteligentes. Se asemejan a la aproximación realizada a principios de 2014 por la APT Crouching Yeti/Energetic Bear, que involucró a instaladores de software legítimos troyanizados en sistemas de control industrial y comprometió sitios de distribución reales. Estas tácticas son ejemplo de una tendencia que la industria de la ciberseguridad tiene que abordar. La búsqueda de la privacidad y la integridad de los datos no deberían exponer a una persona a los daños que le puede producir el watering-hole. Esperamos que estos ataques sirvan para activar el debate sobre la importancia de la verificación en las herramientas de cifrado", afirma Kurt Baumgartner, analista de Kaspersky Lab.
Kaspersky Lab detecta todos los componentes StrongPity como: HEUR: Trojan.Win32.StrongPity.gen y Trojan.Win32.StrongPity y como otras detecciones genéricas.
