Belgische en Nederlandse gebruikers van de archiveringssoftware WinRAR zijn deze zomer het doelwit van een groep cyberspionnen geworden, zo meldt het Russische anti-virusbedrijf Kaspersky Lab vandaag. De groep wordt StrongPity genoemd en zou interesse in versleutelde data hebben.
De cyberspionnen hebben afgelopen zomer via misleidende domeinnamen besmette versies van WinRAR en de versleutelingssoftware TrueCrypt verspreid. Links naar de misleidende domeinnamen werden vervolgens op de officiële Benelux support- en registratiesite voor RAR & WinRAR en andere websites geplaatst. Zestig bezoekers van deze website werden vervolgens naar de misleidende domeinnaam doorgestuurd, voornamelijk uit België, alsmede ook Nederland.
De aanval op Italiaanse WinRAR-gebruikers had meer succes. Via de Italiaanse WinRAR-supportsite werden meer dan 600 gebruikers naar de kwaadaardige website doorgestuurd en raakten zo geïnfecteerd. Een soortgelijke aanval werd ook met de populaire versleutelingssoftware TrueCrypt uitgevoerd. De aanvallers registreerden een domeinnaam die op die van TrueCrypt lijkt en boden daarop een besmette versie aan. Via de besmette versies van WinRAR en TrueCrypt raakten uiteindelijk meer dan duizend computers met malware besmet.
Deze malware heeft het vervolgens op verschillende programma's voorzien, zoals putty, FileZilla, WinSCP, de Windows Remote Desktop-client en mRemoteNG, een programma om op afstand computers te beheren. Daarnaast kan de malware toetsaanslagen opslaan en andere gegevens stelen. Volgens Kaspersky Lab moeten downloadsites die geen PGP of digitale signeercertificaten gebruiken, zodat hun gebruikers de authenticiteit van de aangeboden downloads kunnen controleren, opnieuw bekijken of dit toch niet noodzakelijk is.
Deze posting is gelocked. Reageren is niet meer mogelijk.