Aggiornamenti recenti Aprile 3rd, 2025 10:03 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Colt ha completato il trial di crittografia quantistica sulla propria rete ottica
- Corea del Nord: la minaccia cyber si espande in Europa grazie ai professionisti IT
- Le vulnerabilità dei tool RMM aprono nuove opportunità ai cybercriminali
- Una campagna di phishing usa il DNS-over-HTTPS per eludere i controlli
- CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti dello smishing a tema INPS
Avete scaricato WinRAR dal sito italiano? Potrebbe essere un trojan
I pirati informatici del gruppo StrongPity hanno violato i sistemi del distributore italiano inoculando un trojan. L’azienda “Abbiamo risolto il problema. Ora le indagini per ricostruire quello che è successo”.
Brutta sorpresa per gli utenti WinRAR di Italia e Belgio. Il software per la compressione dei file è finito nel mirino di un gruppo di cyber-criminali che lo ha usato per distribuire un trojan attraverso i siti dei distributori ufficiali.
La notizia arriva da Kaspersky, che nell’analisi della campagna di distribuzione attribuisce l’azione a un gruppo di cyber-criminali battezzato StrongPity e che avrebbe portato avanti un’azione simile anche con il programma di crittografia TrueCrypt.
In entrambi i casi, i pirati hanno confezionato una versione “adulterata” del programma, che pur rimanendo perfettamente funzionante, conteneva un trojan che consentiva ai cyber-criminali di ottenere l’accesso completo al sistema infettato.
La tecnica di distribuzione del malware adottata dal gruppo è stata flessibile. Nel caso di TrueCrypt, un software di crittografia open source il cui sviluppo è stato abbandonato da un paio d’anni a causa di una serie di vulnerabilità che affliggono il “cuore” del programma, i pirati si sono limitati a creare un sito fake che distribuiva l’eseguibile infetto.
La vicenda legata a WinRAR è invece più complessa. StrongPity, infatti, ha colpito direttamente i siti dei distributori ufficiali in Italia e in Belgio, ma con due tecniche diverse.
Nel caso del Belgio i cyber-criminali hanno predisposto un sito per il download utilizzando il vecchio trucco di usare un dominio simile a quello ufficiale. Nello specifico, al posto di indirizzare le richieste di download al sito legittimo “rarlab.com”, queste erano dirottate verso “ralrab.com”.
Il link al sito fasullo è stato inoculato nella pagina di download del distributore ufficiale belga sul sito winrar.be. I visitatori del sito, di conseguenza, al momento del clic sul collegamento per il download finivano sul sito gestito dai pirati e scaricavano la versione infetta del software.
Nel caso italiano, invece, i pirati hanno semplicemente sostituito l’eseguibile presente sui server del distributore.
La violazione del sito WinRAR.it ha avuto come conseguenza il fatto che il malware ha avuto la maggiore diffusione proprio nel nostro paese. Secondo Kaspersky il 48% dei computer compromessi si trovano in Italia.
Contattati telefonicamente da SecurityInfo.it, i responsabili di WinRAR.it ci hanno spiegato di essersi resi conto dell’attacco quando un utente li ha contattati informandoli del fatto che il suo antivirus identificava il programma come un trojan. La buona notizia, quindi, è che chi ha un antivirus aggiornato può contare sul fatto che venga rilevato al momento del download.
Le immediate verifiche compiute dai tecnici di WInRAR.it hanno confermato i timori: il file eseguibile, pur avendo lo stesso certificato digitale dell’originale, conteneva un malware in grado di compromettere il sistema di chi lo installava. Il file è stato sostituito e il distributore ha modificato le procedure di controllo per evitare che l’episodio si possa ripetere.
In attesa di una dichiarazione ufficiale da parte del distributore italiano, una cosa è certa: nel mese di settembre maggio 2016 chi ha scaricato WinRAR dal sito ufficiale italiano ha ottenuto un file che conteneva un malware.
E non un malware qualunque: il trojan distribuito da StrongPity è qualcosa di estremamente invasivo, in grado di accedere a qualsiasi file memorizzato sul computer infetto e di assumere, in buona sostanza, il controllo completo del sistema.
Stando a quanto riportato da Kaspersky Lab, il trojan sarebbe modulare e consentirebbe di scaricare e installare sul computer infetto funzionalità aggiuntive che consentirebbero ai pirati di ampliare le funzionalità del trojan.
Aggiornamento: i gestori del sito italiano, in un post sul blog ufficiale, specificano che la versione infetta del popolare software di compressione sarebbe rimasta sui loro server per meno di una giornata nel mese di maggio.
“La versione di WinRAR infetta è stata presente sul nostro sito solo per mezza giornata: dalle 00:30 circa del 31 maggio alle 13:16 dello stesso giorno” spiegano.
L’indicazione corregge quella errata pubblicata precedentemente, che faceva riferimento al mese di settembre.
Condividi l'articolo
Yahoo sospende l’inoltro delle email. Paura di un esodo di utenti?
Doppia chiave crittografica: ecco il ransomware Odin
Articoli correlati
Altro in questa categoria
3 thoughts on “Avete scaricato WinRAR dal sito italiano? Potrebbe essere un trojan”
Leave a Reply
Devi essere connesso per inviare un commento.
Approfondimenti
-
Corea del Nord: la minaccia cyber si espande in Europa... La Corea del Nord sta incrementando le proprie attività... -
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and Management... -
Mimecast: con l’AI una nuova era per la Data Loss... Ogni nuova tecnologia porta con sé nuovi rischi. Nel caso... -
Penetration testing, una volta ogni tanto non basta più:... Il processo di penetration testing è ormai una pratica... -
Il ransomware Medusa ha colpito oltre 300 infrastrutture... Il bilancio delle vittime del ransomware Medusa è...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Colt ha completato il trial di crittografia quantistica... Colt Technology Services ha annunciato di aver completato... -
Corea del Nord: la minaccia cyber si espande in Europa... La Corea del Nord sta incrementando le proprie attività...
-
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and...
-
Una campagna di phishing usa il DNS-over-HTTPS per eludere... I ricercatori di Infoblox hanno scoperto una nuova campagna... -
CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti... Nel corso dell’ultima settimana, il CERT-AGID ha rilevato...
Ransomware: la serie
No posts found.
Precisazioni sulla vecchia falla del sito Italiano di WinRAR
Il problema è stato molto contenuto ed è avvenuto mesi fa:
http://www.winrar.it/phpBB3/viewtop…mp;p=1524#p1524
Purtroppo l’articolo originale era molto lacunoso sul periodo di “esposizione”.
È nostra abitudine verificare sempre le fonti prima di pubblicare una notizia. La redazione ha contattato telefonicamente WinRAR.it per avere i dettagli prima di pubblicare l’articolo, ottenendo qualche spiegazione dalla responsabile commerciale del sito che ha confermato l’attacco.
Abbiamo chiesto però di inviare una dichiarazione ufficiale per iscritto con i dettagli della vicenda. Dichiarazione che, però, non è mai arrivata.
Abbiamo quindi pubblicato la notizia così come ci era stato possibile ricostruirla sulla base delle informazioni a nostra disposizione. Siamo lieti che ora (a distanza di 3 giorni dalla nostra richiesta) WinRAR.it abbia deciso di fornire maggiori dettagli attraverso il loro blog.
Ops, link sbagliato durante il copia/incolla, scusate:
http://www.winrar.it/phpBB3/viewforum.php?f=2