Aggiornamenti recenti Giugno 30th, 2022 3:23 PM
Ott 11, 2016 Marco Schiaffino In evidenza, Malware, Minacce, News, RSS, Trojan 3
Brutta sorpresa per gli utenti WinRAR di Italia e Belgio. Il software per la compressione dei file è finito nel mirino di un gruppo di cyber-criminali che lo ha usato per distribuire un trojan attraverso i siti dei distributori ufficiali.
La notizia arriva da Kaspersky, che nell’analisi della campagna di distribuzione attribuisce l’azione a un gruppo di cyber-criminali battezzato StrongPity e che avrebbe portato avanti un’azione simile anche con il programma di crittografia TrueCrypt.
In entrambi i casi, i pirati hanno confezionato una versione “adulterata” del programma, che pur rimanendo perfettamente funzionante, conteneva un trojan che consentiva ai cyber-criminali di ottenere l’accesso completo al sistema infettato.
La tecnica di distribuzione del malware adottata dal gruppo è stata flessibile. Nel caso di TrueCrypt, un software di crittografia open source il cui sviluppo è stato abbandonato da un paio d’anni a causa di una serie di vulnerabilità che affliggono il “cuore” del programma, i pirati si sono limitati a creare un sito fake che distribuiva l’eseguibile infetto.
La vicenda legata a WinRAR è invece più complessa. StrongPity, infatti, ha colpito direttamente i siti dei distributori ufficiali in Italia e in Belgio, ma con due tecniche diverse.
Nel caso del Belgio i cyber-criminali hanno predisposto un sito per il download utilizzando il vecchio trucco di usare un dominio simile a quello ufficiale. Nello specifico, al posto di indirizzare le richieste di download al sito legittimo “rarlab.com”, queste erano dirottate verso “ralrab.com”.
Il link al sito fasullo è stato inoculato nella pagina di download del distributore ufficiale belga sul sito winrar.be. I visitatori del sito, di conseguenza, al momento del clic sul collegamento per il download finivano sul sito gestito dai pirati e scaricavano la versione infetta del software.
Nel caso italiano, invece, i pirati hanno semplicemente sostituito l’eseguibile presente sui server del distributore.
La violazione del sito WinRAR.it ha avuto come conseguenza il fatto che il malware ha avuto la maggiore diffusione proprio nel nostro paese. Secondo Kaspersky il 48% dei computer compromessi si trovano in Italia.
Contattati telefonicamente da SecurityInfo.it, i responsabili di WinRAR.it ci hanno spiegato di essersi resi conto dell’attacco quando un utente li ha contattati informandoli del fatto che il suo antivirus identificava il programma come un trojan. La buona notizia, quindi, è che chi ha un antivirus aggiornato può contare sul fatto che venga rilevato al momento del download.
Le immediate verifiche compiute dai tecnici di WInRAR.it hanno confermato i timori: il file eseguibile, pur avendo lo stesso certificato digitale dell’originale, conteneva un malware in grado di compromettere il sistema di chi lo installava. Il file è stato sostituito e il distributore ha modificato le procedure di controllo per evitare che l’episodio si possa ripetere.
In attesa di una dichiarazione ufficiale da parte del distributore italiano, una cosa è certa: nel mese di settembre maggio 2016 chi ha scaricato WinRAR dal sito ufficiale italiano ha ottenuto un file che conteneva un malware.
E non un malware qualunque: il trojan distribuito da StrongPity è qualcosa di estremamente invasivo, in grado di accedere a qualsiasi file memorizzato sul computer infetto e di assumere, in buona sostanza, il controllo completo del sistema.
Stando a quanto riportato da Kaspersky Lab, il trojan sarebbe modulare e consentirebbe di scaricare e installare sul computer infetto funzionalità aggiuntive che consentirebbero ai pirati di ampliare le funzionalità del trojan.
Aggiornamento: i gestori del sito italiano, in un post sul blog ufficiale, specificano che la versione infetta del popolare software di compressione sarebbe rimasta sui loro server per meno di una giornata nel mese di maggio.
“La versione di WinRAR infetta è stata presente sul nostro sito solo per mezza giornata: dalle 00:30 circa del 31 maggio alle 13:16 dello stesso giorno” spiegano.
L’indicazione corregge quella errata pubblicata precedentemente, che faceva riferimento al mese di settembre.
Mar 18, 2019 0
Feb 20, 2019 0
Giu 30, 2022 0
Giu 30, 2022 0
Giu 29, 2022 0
Giu 29, 2022 0
Devi essere connesso per inviare un commento.
Mar 11, 2022 0
Il ransomware è un flagello che sta colpendo le aziende di...Mar 10, 2022 0
Il ransomware è una tipologia d’attacco di cui...Mar 09, 2022 0
Non c’è quasi utente di computer che non abbia sentito...Mar 08, 2022 0
Il ransomware è una vera e propria piaga...Ott 22, 2021 0
Il ruolo dei sistemi di tracciamento delle attività...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Giu 30, 2022 0
Queste librerie, molto utilizzate in progetti open source...Giu 30, 2022 0
Una vulnerabilità container-escape nei cluster Service...Giu 29, 2022 0
Il nuovo progetto Open Cloud Vulnerability & Security...Giu 29, 2022 0
Il gruppo di cybercriminali RansomHouse dichiara di aver...Giu 28, 2022 0
Il collettivo di hacker Killnet ha sferrato attacchi DDoS...Continuano le montagne russe nella valutazione nel mercato delle vulnerabilità.... Continua →
Precisazioni sulla vecchia falla del sito Italiano di WinRAR
Il problema è stato molto contenuto ed è avvenuto mesi fa:
http://www.winrar.it/phpBB3/viewtop…mp;p=1524#p1524
Purtroppo l’articolo originale era molto lacunoso sul periodo di “esposizione”.
È nostra abitudine verificare sempre le fonti prima di pubblicare una notizia. La redazione ha contattato telefonicamente WinRAR.it per avere i dettagli prima di pubblicare l’articolo, ottenendo qualche spiegazione dalla responsabile commerciale del sito che ha confermato l’attacco.
Abbiamo chiesto però di inviare una dichiarazione ufficiale per iscritto con i dettagli della vicenda. Dichiarazione che, però, non è mai arrivata.
Abbiamo quindi pubblicato la notizia così come ci era stato possibile ricostruirla sulla base delle informazioni a nostra disposizione. Siamo lieti che ora (a distanza di 3 giorni dalla nostra richiesta) WinRAR.it abbia deciso di fornire maggiori dettagli attraverso il loro blog.
Ops, link sbagliato durante il copia/incolla, scusate:
http://www.winrar.it/phpBB3/viewforum.php?f=2