警惕,WinRAR和TrueCrypt安装程序在用户电脑中植入恶意程序

WinRAR解压缩软件在中国有非常大的保有量,中国也是WinRAR的重要市场。不过最近卡巴斯基实验室的研究报告却让我们惊出一身冷汗,某些来源的WinRAR和TrueCrypt安装程序会在我们的电脑中植入恶意程序,窃取电脑硬盘信息和隐私人信息。

矛盾之争

WinRAR采用AES-256位加密技术对文件进行加密,TrueCrypt则是一个全盘加密工具。两者都对文件提供强大、可靠的加密。照理说,不应该出现什么问题的啊。但问题确实发生了。

据卡巴斯基实验室的报告称,他们在WinRAR和TrueCrypt的安装程序中发现了一个来自StrongPit团队的新恶意程序,这个程序会在用户安装后启动。

对于StrongPit,相信大家应该是有耳闻,已经在黑客行业耕耘多年,而最近,他们又迷上了用户的加密工具。这个团队主要是采用Watering-Hole、感染安装程序、以及恶意程序等对用户的加密软件进行攻击,也算是一个老油条了。该团队曾在过去发起过zero-day attack(零日攻击,针对没有补丁的漏洞的攻击)。通过对他们的研究发现,这个团队存在以下特点:

1.决定无比正确, 2.资源十分丰富, 3.而且方式较新, 4.完全不计后果。

如何实现攻击?

StrongPity通过建立一个与合法网站相似度极高的网站下载站点,欺骗用户下载含有恶意程序的加密应用,攻击者在数据加密未完成之前就获得了完整的数据。

除了基本的钓鱼攻击外,攻击者甚至还劫持了WinRAR和TrueCrypt的相关域名,替换了WinRAR和TrueCrypt安装程序文件的原本链接。如果用户点击了这个下载链接,就会在神不知鬼不觉中下载恶意程序。一旦恶意程序被安装,它就会控制整个系统,进而获得各种敏感数据。

卡巴斯基表示:

在今年的攻击中,StrongPity抛弃了以往的ICS或SCADA攻击。而是通过模仿WinRAR的合法网站建立了一个域名为ralrab.com的网站,然后将合法网站的推荐按钮链接到含有恶意程序的网站上,让用户下载含有恶意程序的安装软件。当然,其他链接则正常链接到合法软件。

StrongPity提供了32位和64位的法语和荷兰语版本供下载:

hxxp://www.ralrab[.]com/rar/winrar-x64-531.exe hxxp://www.ralrab[.]com/rar/winrar-x64-531fr.exe hxxp://www.ralrab[.]com/rar/winrar-x64-531nl.exe hxxp://www.ralrab[.]com/rar/wrar531.exe hxxp://www.ralrab[.]com/rar/wrar531fr.exe hxxp://www.ralrab[.]com/rar/wrar531nl.exe hxxp://ralrab[.]com/rar/winrar-x64-531.exe hxxp://ralrab[.]com/rar/winrar-x64-531nl.exe hxxp://ralrab[.]com/rar/wrar531fr.exe hxxp://ralrab[.]com/rar/wrar531nl.exe hxxp://ralrab[.]com/rar/wrar53b5.exe

ralrab.com上含有恶意程序的安装文件

StrongPity这种下载程序标榜着“非同寻常的数字证书”,但是他们并没有重用这种虚假的数字证书。这种程序的下载组件包括一个后门、键盘记录器、数据盗取器和其他的软件程序,包括putty SSH客户端、服务器源代码分析(filezilla FTP)客户端、Wnscp安全文件传输程序和远程桌面客户端。

范围广,危害大

卡巴斯基实验室的报告数据显示,今年就有超过1000种系统被这种程序影响。影响范围也比较广,欧洲、中东甚至非洲都未能幸免。意大利、土耳其、比利时、阿尔及利亚和法国是其中受影响最为严重的。

winrar[.]it StrongPity component geolocation distribution

在差不多的时间范围内,有超过60个旅游者发现他们的网站从winrar.be变为了ralrab.com,而且都是位于一个国家。在5月25至6月初这段时间内,受害国家主要集中为阿尔及利亚、摩洛哥、荷兰、加拿大、科特迪瓦和突尼斯。

winrar[.]be StrongPity component geolocation distribution

这个团队在2015年年底才开始部署Truecrypt-themed 的Watering hole,但在今年的夏末,这种攻击方式就已经开始暴发。他们建立了一个直接从TrueCrypt的合法网站拉取信息的网站。7月中旬到9月初,很多土耳其和荷兰的用户发现他们的网站从tamindir.com导向了true-crypt.com。

tamindir[.]com to true-crypt[.]com poisoned TrueCrypt installer redirects

而在该网站(true-crypt.com)的底部,也有一些链接指向含有恶意程序的安装文件:

hxxp://www.true-crypt[.]com/download/TrueCrypt-Setup-7.1a.exe hxxp://true-crypt[.]com/files/TrueCrypt-7.2.exe

而WinRAR的情况则有点特殊。黑客并不是直接将WinRAR的网站导向黑客控制的网站,而是劫持了合法网站winrar.it,将受害者引导至含有恶意程序版本的网站。winrar.it对意大利影响最为严重,其他欧洲国家也受到了一定的影响;而winrar.be则对加拿大、荷兰等国家造成了影响。

Download page, winrar[.]it

在卡巴斯基研究人员的进一步测试中发现,这个恶意下载程序不仅能让黑客控制系统,更能让他们窃取硬盘里的内容,同时,还能下载其他的恶意程序来窃取用户的联系人信息。换句话说,只要他们愿意,你的电脑就没有秘密,他们可以随时检索你的私人数据和交流信息。所以,这种程序影响是深远的。

借用卡巴斯基研究员Kurt Baumgartner的话来说就是“WinRAR的经销商非常幸运,因为这个恶意程序已经被移除。而且它是通过伪安装程序链接到他们的网站的。”

一个被通过winrar安装程序传播的网站

尽管WinRAR已经将它们移除,但一个TrueCrypt经销商的网站还能在受害者的设备中安装这种恶意程序。这个恶意程序通过经销商的网站已经在土耳其扩散并影响了相当多的用户。

如何应对?

我们中国有句老叫做“兵来将挡水来土掩”,既然事情已经发生了,我们就要在行动中注意。

卡巴斯基的安全团队也给了我们衷告:

“When visiting sites and downloading encryption-enabled software, it has become necessary to verify the validity of the distribution site and the integrity of the downloaded file itself. Download sites not using PGP or strong digital code signing certificates need to re-examine the necessity of doing so for their own customers”。

大概就是,在浏览或者下载可加密站点时,必须要对网站有效性和文件的完整性进行验证,养成良好的习惯。而对于下载站点来说,最好是采用PGP协议和强数字密码签名来保护用户的安全。

卡巴斯基研究报告下载链接:<点击阅读原文查看>

* 参考来源:hackread ,thehackernews,threatpost,FB小编latiaojun编译,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2016-10-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏云基础安全

3分钟了解主机安全问题

《碟中谍4》中,位于迪拜塔137层的数据中心,网络防火墙是军用级别口令和硬件网关,破解防护困难。于是阿汤哥只身从130楼爬到137楼,进入数据中心,绕过防护设备...

76520
来自专栏腾讯云安全的专栏

腾讯云发布一键封堵工具,完美规避 NSA 黑客工具影响

24070
来自专栏安恒信息

漏洞预警:Apache Struts2 漏洞凶猛来袭 安恒信息提醒用户及时关注并防护

六月份Apache Struts2的远程代码执行漏洞风暴刚刚过去,今日,国外公共漏洞和暴露平台CVE再次公布了Apache Struts2两个严重漏洞(CVE-...

29560
来自专栏域名资讯

品相优! 英文域名Matrix.io近20万元交易

含义好的域名无论在怎样的国别,都能很好的使用,这样一来,其价格肯定也不会低。近日,在海外平台上就有一枚matrix.io域名结拍,价格为30000美...

26990
来自专栏FreeBuf

美国DHS发布《“灰熊草原”网络攻击活动深入分析报告》

近期,美国DHS继续公布了一份《”灰熊草原”网络攻击活动的深入分析》报告(Enhanced Analysis of GRIZZLY STEPPE Activit...

25150
来自专栏FreeBuf

围观2016年最活跃的“顶级Exploit Kit”

Exploit Kit作为传播犯罪软件的重要工具,一直深受网络犯罪分子喜爱。俗话说知己知彼百战百胜,面对与时俱进,不断升级更新的Exploit Kit,我们必须...

23650
来自专栏小白课代表

《经验之谈》—— 如何保护个人信息安全?

2018年上半年中国移动互联网关键字中,“安全”处于第一位!除了我们的人身安全,网络安全也是重中之重。

54230
来自专栏企鹅号快讯

《网络战争》第59期:暗网暴露 14 亿明文密码库,或成史上最大规模数据泄露案

据外媒报道,美国一家网络情报公司 4iQ 于 12 月 5 日在暗网社区论坛上发现了一个大型汇总数据库,其中包含了 14 亿明文用户名和密码组合,牵涉 Link...

44580
来自专栏java达人

网络攻击是如何运作的—一份完整的列表 ( 2 )

作者:PAUL CUCU 译者:java达人 来源:https://heimdalsecurity.com/blog/cyber-attack/(点击阅读原文...

38350
来自专栏企鹅号快讯

甲骨文MICROS系统再曝漏洞 POS终端网络安全谁买单?

“用指尖改变世界” ? 关于POS终端的安全问题并不是什么新鲜事!在最近的几年里,有许多针对POS终端的黑客攻击活动或者安全漏洞问题被报道。 考虑到此类设备与个...

20990

扫码关注云+社区

领取腾讯云代金券