StrongPity, la amenaza que atrapa a miles de usuarios que buscan cifrado

StrongPity es un agente de amenaza sigiloso que ha pasado el verano atrayendo a los usuarios de software de cifrado a su watering-hole. Los más afectados han sido los usuarios de Italia y Bélgica, pero Turquía, el norte de África y Oriente Medio también se vieron atacados.

El nombre watering-hole deriva de una técnica de caza en la que algunos depredadores se esconden bajo el agua y esperan a que su presa se acerque a beber agua para atacarla. De la misma manera, un cibercriminal valora cuáles son las páginas web que podrían interesar a sus objetivos y buscan vulnerabilidades que explotar.

StrongPity es una APT enfocada en el cifrado de datos y comunicaciones. En los últimos meses, Kaspersky Lab ha observado una escalada significativa en sus ataques a usuarios en busca de dos herramientas de cifrado con muy buena reputación: los documentos WinRAR y el cifrado del sistema TrueCrypt.

El malware StrongPity incluye componentes que dan a los ciberatacantes el control completo del sistema de la víctima, les permite robar el contenido del disco y también descargar módulos adicionales para recoger las comunicaciones y contactos. Se  ha detectado hasta ahora visitas a sitios StrongPity y la presencia de componentes StrongPity a través de más de un millar de sistemas de destino.

Watering-hole e instaladores envenenados

Los ciberatacantes construyeron sitios web fraudulentos donde dirigían a sus víctimas. En algunos casos el cambio se reducía a un par de letras del nombre de dominio real con el fin de parecer un sitio legítimo del instalador de software WinRAR. Se colocó un enlace destacado a este dominio

malicioso en la página web del distribuidor WinRAR en Bélgica. Cuando los visitantes entraban en el sitio se infectaban. La primera detección de Kaspersky Lab fue el 28 de mayo de 2016.

Casi al mismo tiempo, el 24 de mayo, Kaspersky Lab comenzó a detectar actividad en un sitio malicioso del distribuidor WinRAR italiano. En este caso, sin embargo, los usuarios no se redirigían a un sitio web fraudulento, pero se servían del instalador StrongPity malicioso directamente desde el sitio del distribuidor. StrongPity también dirigió a visitantes desde sitios populares para compartir software con los instaladores de troyanos TrueCrypt. Esta actividad estaba todavía en curso a finales de septiembre.

Los enlaces maliciosos desde los sitios del distribuidor WinRAR ahora se han eliminado, pero a finales de septiembre el sitio TrueCrypt fraudulento todavía estaba operativo.