Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Attacchi DDoS più che raddoppiati lo scorso anno: il report di F5 Labs
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
Avete scaricato WinRAR dal sito italiano? Potrebbe essere un trojan
I pirati informatici del gruppo StrongPity hanno violato i sistemi del distributore italiano inoculando un trojan. L’azienda “Abbiamo risolto il problema. Ora le indagini per ricostruire quello che è successo”.
Brutta sorpresa per gli utenti WinRAR di Italia e Belgio. Il software per la compressione dei file è finito nel mirino di un gruppo di cyber-criminali che lo ha usato per distribuire un trojan attraverso i siti dei distributori ufficiali.
La notizia arriva da Kaspersky, che nell’analisi della campagna di distribuzione attribuisce l’azione a un gruppo di cyber-criminali battezzato StrongPity e che avrebbe portato avanti un’azione simile anche con il programma di crittografia TrueCrypt.
In entrambi i casi, i pirati hanno confezionato una versione “adulterata” del programma, che pur rimanendo perfettamente funzionante, conteneva un trojan che consentiva ai cyber-criminali di ottenere l’accesso completo al sistema infettato.
La tecnica di distribuzione del malware adottata dal gruppo è stata flessibile. Nel caso di TrueCrypt, un software di crittografia open source il cui sviluppo è stato abbandonato da un paio d’anni a causa di una serie di vulnerabilità che affliggono il “cuore” del programma, i pirati si sono limitati a creare un sito fake che distribuiva l’eseguibile infetto.
La vicenda legata a WinRAR è invece più complessa. StrongPity, infatti, ha colpito direttamente i siti dei distributori ufficiali in Italia e in Belgio, ma con due tecniche diverse.
Nel caso del Belgio i cyber-criminali hanno predisposto un sito per il download utilizzando il vecchio trucco di usare un dominio simile a quello ufficiale. Nello specifico, al posto di indirizzare le richieste di download al sito legittimo “rarlab.com”, queste erano dirottate verso “ralrab.com”.
Il link al sito fasullo è stato inoculato nella pagina di download del distributore ufficiale belga sul sito winrar.be. I visitatori del sito, di conseguenza, al momento del clic sul collegamento per il download finivano sul sito gestito dai pirati e scaricavano la versione infetta del software.
Nel caso italiano, invece, i pirati hanno semplicemente sostituito l’eseguibile presente sui server del distributore.
La violazione del sito WinRAR.it ha avuto come conseguenza il fatto che il malware ha avuto la maggiore diffusione proprio nel nostro paese. Secondo Kaspersky il 48% dei computer compromessi si trovano in Italia.
Contattati telefonicamente da SecurityInfo.it, i responsabili di WinRAR.it ci hanno spiegato di essersi resi conto dell’attacco quando un utente li ha contattati informandoli del fatto che il suo antivirus identificava il programma come un trojan. La buona notizia, quindi, è che chi ha un antivirus aggiornato può contare sul fatto che venga rilevato al momento del download.
Le immediate verifiche compiute dai tecnici di WInRAR.it hanno confermato i timori: il file eseguibile, pur avendo lo stesso certificato digitale dell’originale, conteneva un malware in grado di compromettere il sistema di chi lo installava. Il file è stato sostituito e il distributore ha modificato le procedure di controllo per evitare che l’episodio si possa ripetere.
In attesa di una dichiarazione ufficiale da parte del distributore italiano, una cosa è certa: nel mese di settembre maggio 2016 chi ha scaricato WinRAR dal sito ufficiale italiano ha ottenuto un file che conteneva un malware.
E non un malware qualunque: il trojan distribuito da StrongPity è qualcosa di estremamente invasivo, in grado di accedere a qualsiasi file memorizzato sul computer infetto e di assumere, in buona sostanza, il controllo completo del sistema.
Stando a quanto riportato da Kaspersky Lab, il trojan sarebbe modulare e consentirebbe di scaricare e installare sul computer infetto funzionalità aggiuntive che consentirebbero ai pirati di ampliare le funzionalità del trojan.
Aggiornamento: i gestori del sito italiano, in un post sul blog ufficiale, specificano che la versione infetta del popolare software di compressione sarebbe rimasta sui loro server per meno di una giornata nel mese di maggio.
“La versione di WinRAR infetta è stata presente sul nostro sito solo per mezza giornata: dalle 00:30 circa del 31 maggio alle 13:16 dello stesso giorno” spiegano.
L’indicazione corregge quella errata pubblicata precedentemente, che faceva riferimento al mese di settembre.
Condividi l'articolo
Yahoo sospende l’inoltro delle email. Paura di un esodo di utenti?
Doppia chiave crittografica: ecco il ransomware Odin
Articoli correlati
Altro in questa categoria
3 thoughts on “Avete scaricato WinRAR dal sito italiano? Potrebbe essere un trojan”
Leave a Reply
Devi essere connesso per inviare un commento.
Approfondimenti
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova...
Ransomware: la serie
No posts found.
Precisazioni sulla vecchia falla del sito Italiano di WinRAR
Il problema è stato molto contenuto ed è avvenuto mesi fa:
http://www.winrar.it/phpBB3/viewtop…mp;p=1524#p1524
Purtroppo l’articolo originale era molto lacunoso sul periodo di “esposizione”.
È nostra abitudine verificare sempre le fonti prima di pubblicare una notizia. La redazione ha contattato telefonicamente WinRAR.it per avere i dettagli prima di pubblicare l’articolo, ottenendo qualche spiegazione dalla responsabile commerciale del sito che ha confermato l’attacco.
Abbiamo chiesto però di inviare una dichiarazione ufficiale per iscritto con i dettagli della vicenda. Dichiarazione che, però, non è mai arrivata.
Abbiamo quindi pubblicato la notizia così come ci era stato possibile ricostruirla sulla base delle informazioni a nostra disposizione. Siamo lieti che ora (a distanza di 3 giorni dalla nostra richiesta) WinRAR.it abbia deciso di fornire maggiori dettagli attraverso il loro blog.
Ops, link sbagliato durante il copia/incolla, scusate:
http://www.winrar.it/phpBB3/viewforum.php?f=2