Aggiornamenti recenti Dicembre 7th, 2023 6:02 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- SLAM segue le orme di Spectre per colpire le CPU future
- Google risolve diverse vulnerabilità zero-click critiche in Android
- Gli hacktivisti iraniani continuano a colpire i centri idrici negli Stati Uniti
- Le reti neurali sono molto più vulnerabili di quanto pensiamo
- I gruppi nord-coreani hanno rubato 3 miliardi di dollari in criptovalute per finanziare attività militari
Avete scaricato WinRAR dal sito italiano? Potrebbe essere un trojan
I pirati informatici del gruppo StrongPity hanno violato i sistemi del distributore italiano inoculando un trojan. L’azienda “Abbiamo risolto il problema. Ora le indagini per ricostruire quello che è successo”.
Brutta sorpresa per gli utenti WinRAR di Italia e Belgio. Il software per la compressione dei file è finito nel mirino di un gruppo di cyber-criminali che lo ha usato per distribuire un trojan attraverso i siti dei distributori ufficiali.
La notizia arriva da Kaspersky, che nell’analisi della campagna di distribuzione attribuisce l’azione a un gruppo di cyber-criminali battezzato StrongPity e che avrebbe portato avanti un’azione simile anche con il programma di crittografia TrueCrypt.
In entrambi i casi, i pirati hanno confezionato una versione “adulterata” del programma, che pur rimanendo perfettamente funzionante, conteneva un trojan che consentiva ai cyber-criminali di ottenere l’accesso completo al sistema infettato.
La tecnica di distribuzione del malware adottata dal gruppo è stata flessibile. Nel caso di TrueCrypt, un software di crittografia open source il cui sviluppo è stato abbandonato da un paio d’anni a causa di una serie di vulnerabilità che affliggono il “cuore” del programma, i pirati si sono limitati a creare un sito fake che distribuiva l’eseguibile infetto.
La vicenda legata a WinRAR è invece più complessa. StrongPity, infatti, ha colpito direttamente i siti dei distributori ufficiali in Italia e in Belgio, ma con due tecniche diverse.
Nel caso del Belgio i cyber-criminali hanno predisposto un sito per il download utilizzando il vecchio trucco di usare un dominio simile a quello ufficiale. Nello specifico, al posto di indirizzare le richieste di download al sito legittimo “rarlab.com”, queste erano dirottate verso “ralrab.com”.
Il link al sito fasullo è stato inoculato nella pagina di download del distributore ufficiale belga sul sito winrar.be. I visitatori del sito, di conseguenza, al momento del clic sul collegamento per il download finivano sul sito gestito dai pirati e scaricavano la versione infetta del software.
Nel caso italiano, invece, i pirati hanno semplicemente sostituito l’eseguibile presente sui server del distributore.
La violazione del sito WinRAR.it ha avuto come conseguenza il fatto che il malware ha avuto la maggiore diffusione proprio nel nostro paese. Secondo Kaspersky il 48% dei computer compromessi si trovano in Italia.
Contattati telefonicamente da SecurityInfo.it, i responsabili di WinRAR.it ci hanno spiegato di essersi resi conto dell’attacco quando un utente li ha contattati informandoli del fatto che il suo antivirus identificava il programma come un trojan. La buona notizia, quindi, è che chi ha un antivirus aggiornato può contare sul fatto che venga rilevato al momento del download.
Le immediate verifiche compiute dai tecnici di WInRAR.it hanno confermato i timori: il file eseguibile, pur avendo lo stesso certificato digitale dell’originale, conteneva un malware in grado di compromettere il sistema di chi lo installava. Il file è stato sostituito e il distributore ha modificato le procedure di controllo per evitare che l’episodio si possa ripetere.
In attesa di una dichiarazione ufficiale da parte del distributore italiano, una cosa è certa: nel mese di settembre maggio 2016 chi ha scaricato WinRAR dal sito ufficiale italiano ha ottenuto un file che conteneva un malware.
E non un malware qualunque: il trojan distribuito da StrongPity è qualcosa di estremamente invasivo, in grado di accedere a qualsiasi file memorizzato sul computer infetto e di assumere, in buona sostanza, il controllo completo del sistema.
Stando a quanto riportato da Kaspersky Lab, il trojan sarebbe modulare e consentirebbe di scaricare e installare sul computer infetto funzionalità aggiuntive che consentirebbero ai pirati di ampliare le funzionalità del trojan.
Aggiornamento: i gestori del sito italiano, in un post sul blog ufficiale, specificano che la versione infetta del popolare software di compressione sarebbe rimasta sui loro server per meno di una giornata nel mese di maggio.
“La versione di WinRAR infetta è stata presente sul nostro sito solo per mezza giornata: dalle 00:30 circa del 31 maggio alle 13:16 dello stesso giorno” spiegano.
L’indicazione corregge quella errata pubblicata precedentemente, che faceva riferimento al mese di settembre.
Condividi l'articolo
Yahoo sospende l’inoltro delle email. Paura di un esodo di utenti?
Doppia chiave crittografica: ecco il ransomware Odin
Articoli correlati
Altro in questa categoria
3 thoughts on “Avete scaricato WinRAR dal sito italiano? Potrebbe essere un trojan”
Leave a Reply
Devi essere connesso per inviare un commento.
Approfondimenti
-
I gruppi nord-coreani hanno rubato 3 miliardi di dollari in... Negli ultimi anni i cyberattaccanti nord-coreani hanno... -
IA, QR Code e visori al servizio degli attaccanti: le... L’avvicinarsi della fine dell’anno coincide con... -
Carenza di competenze di cybersecurity: un quarto delle... Gli attacchi informatici crescono in numero e in... -
Black Friday ghiotto per il cybercrimine: in vendita 30... Yarix, divisione Digital Security di Var Group, ha... -
I trend delle minacce APT del 2024 Le minacce APT sono tra le più pericolose nel panorama...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
SLAM segue le orme di Spectre per colpire le CPU future I ricercatori di VUSec, il gruppo di sicurezza... -
Google risolve diverse vulnerabilità zero-click critiche... Google ha rilasciato importanti aggiornamenti di sicurezza... -
Gli hacktivisti iraniani continuano a colpire i centri... Vi ricordate l’attacco di CyberAv3ngers al centro... -
Le reti neurali sono molto più vulnerabili di quanto... Che i sistemi di intelligenza artificiale fossero... -
I cybercriminali nord-coreani combinano vecchie campagne... I gruppi di cyberattaccanti nord-coreani dietro campagne...
Jargon room
Tutorial, guide e altre piccole idee per la sicurezza informatica
Ransomware: la serie
No posts found.
Precisazioni sulla vecchia falla del sito Italiano di WinRAR
Il problema è stato molto contenuto ed è avvenuto mesi fa:
http://www.winrar.it/phpBB3/viewtop…mp;p=1524#p1524
Purtroppo l’articolo originale era molto lacunoso sul periodo di “esposizione”.
È nostra abitudine verificare sempre le fonti prima di pubblicare una notizia. La redazione ha contattato telefonicamente WinRAR.it per avere i dettagli prima di pubblicare l’articolo, ottenendo qualche spiegazione dalla responsabile commerciale del sito che ha confermato l’attacco.
Abbiamo chiesto però di inviare una dichiarazione ufficiale per iscritto con i dettagli della vicenda. Dichiarazione che, però, non è mai arrivata.
Abbiamo quindi pubblicato la notizia così come ci era stato possibile ricostruirla sulla base delle informazioni a nostra disposizione. Siamo lieti che ora (a distanza di 3 giorni dalla nostra richiesta) WinRAR.it abbia deciso di fornire maggiori dettagli attraverso il loro blog.
Ops, link sbagliato durante il copia/incolla, scusate:
http://www.winrar.it/phpBB3/viewforum.php?f=2