Avete scaricato WinRAR dal sito italiano? Potrebbe essere un trojan

Ott 11, 2016 Marco Schiaffino In evidenza, Malware, Minacce, News, RSS, Trojan 3

---

I pirati informatici del gruppo StrongPity hanno violato i sistemi del distributore italiano inoculando un trojan. L’azienda “Abbiamo risolto il problema. Ora le indagini per ricostruire quello che è successo”.

Brutta sorpresa per gli utenti WinRAR di Italia e Belgio. Il software per la compressione dei file è finito nel mirino di un gruppo di cyber-criminali che lo ha usato per distribuire un trojan attraverso i siti dei distributori ufficiali.

La notizia arriva da Kaspersky, che nell’analisi della campagna di distribuzione attribuisce l’azione a un gruppo di cyber-criminali battezzato StrongPity e che avrebbe portato avanti un’azione simile anche con il programma di crittografia TrueCrypt.

In entrambi i casi, i pirati hanno confezionato una versione “adulterata” del programma, che pur rimanendo perfettamente funzionante, conteneva un trojan che consentiva ai cyber-criminali di ottenere l’accesso completo al sistema infettato.

La tecnica di distribuzione del malware adottata dal gruppo è stata flessibile. Nel caso di TrueCrypt, un software di crittografia open source il cui sviluppo è stato abbandonato da un paio d’anni a causa di una serie di vulnerabilità che affliggono il “cuore” del programma, i pirati si sono limitati a creare un sito fake che distribuiva l’eseguibile infetto.

La vicenda legata a WinRAR è invece più complessa. StrongPity, infatti, ha colpito direttamente i siti dei distributori ufficiali in Italia e in Belgio, ma con due tecniche diverse.

Nel caso del Belgio i cyber-criminali hanno predisposto un sito per il download utilizzando il vecchio trucco di usare un dominio simile a quello ufficiale. Nello specifico, al posto di indirizzare le richieste di download al sito legittimo “rarlab.com”, queste erano dirottate verso “ralrab.com”.

Il link al sito fasullo è stato inoculato nella pagina di download del distributore ufficiale belga sul sito winrar.be. I visitatori del sito, di conseguenza, al momento del clic sul collegamento per il download finivano sul sito gestito dai pirati e scaricavano la versione infetta del software.

Nel caso italiano, invece, i pirati hanno semplicemente sostituito l’eseguibile presente sui server del distributore.

Contattati telefonicamente da SecurityInfo.it, i responsabili di WinRAR.it ci hanno spiegato di essersi resi conto dell’attacco quando un utente li ha contattati informandoli del fatto che il suo antivirus identificava il programma come un trojan. La buona notizia, quindi, è che chi ha un antivirus aggiornato può contare sul fatto che venga rilevato al momento del download.

Le immediate verifiche compiute dai tecnici di WInRAR.it hanno confermato i timori: il file eseguibile, pur avendo lo stesso certificato digitale dell’originale, conteneva un malware in grado di compromettere il sistema di chi lo installava. Il file è stato sostituito e il distributore ha modificato le procedure di controllo per evitare che l’episodio si possa ripetere.

In attesa di una dichiarazione ufficiale da parte del distributore italiano, una cosa è certa: nel mese di settembre maggio 2016 chi ha scaricato WinRAR dal sito ufficiale italiano ha ottenuto un file che conteneva un malware.

E non un malware qualunque: il trojan distribuito da StrongPity è qualcosa di estremamente invasivo, in grado di accedere a qualsiasi file memorizzato sul computer infetto e di assumere, in buona sostanza, il controllo completo del sistema.

Stando a quanto riportato da Kaspersky Lab, il trojan sarebbe modulare e consentirebbe di scaricare e installare sul computer infetto funzionalità aggiuntive che consentirebbero ai pirati di ampliare le funzionalità del trojan.

Aggiornamento: i gestori del sito italiano, in un post sul blog ufficiale, specificano che la versione infetta del popolare software di compressione sarebbe rimasta sui loro server per meno di una giornata nel mese di maggio.

“La versione di WinRAR infetta è stata presente sul nostro sito solo per mezza giornata: dalle 00:30 circa del 31 maggio alle 13:16 dello stesso giorno” spiegano.

L’indicazione corregge quella errata pubblicata precedentemente, che faceva riferimento al mese di settembre.

---

• WinRAR

---

---