Artículo: StrongPity APT emerge con herramientas de troyanos cripto-tools. 

El StrongPity APT ha resurgido, con especial atención a los usuarios de herramientas de cifrado. Particularmente utilizando el Phising como medio para propagar el troyano.
http://www.infosecurity-magazine.com/news/strongpity-apt-emerges-with/

Traducción Google:

Según Kaspersky Lab, fuertes, herramientas de software de criptografía ampliamente disponibles ayudan a proporcionar comunicaciones seguras y privadas que ahora se obtienen fácilmente y utilizables.En el verano de 2016, varias aplicaciones de software de cifrado habilitado fueron atacados con tácticas de ingeniería social y spyware por el StrongPity APT.

El grupo utilizó un mecanismo para entregar los instaladores WinRAR WinRAR troyanizado (paquetes y encripta los archivos con suites fuertes como AES-256 en modo CBC con una clave basada en HMAC-SHA256 PBKDF2 fuerte).

Los malos actores establecieron un nombre de dominio que imita el sitio legítimo de distribución de WinRAR, y luego se colocan enlaces en un sitio legítimo «distribuidor certificado» en Europa para redirigir a los usuarios a sus instaladores envenenados. En Bélgica, los atacantes colocaron un enlace de «recomendado» al sitio malicioso en el medio de la página de distribución de WinRAR localizada. Un gran botón azul vinculado al instalador malicioso, mientras que todos los otros enlaces en la página dirigirse al software legítimo.

StrongPity también dirigió a los visitantes específicos de los sitios de intercambio de software populares, localizados en Francia y Bélgica directamente a los instaladores troyanizado de TrueCrypt. TrueCrypt ofrece una solución de cifrado de disco completo de código abierto efectivo para Windows, Apple, Linux y sistemas Android.

Esta actividad se prolongó hasta finales de septiembre de 2016, lo que resulta en más de 1.000 sistemas infectados con un componente StrongPity. Los cinco países más afectados son Italia, Turquía, Bélgica, Argelia y Francia.

 «Esta actividad nos recuerda un poco de la actividad que se agacha principios de 2014 Yeti,» dijo Kurt Baumgartner, director investigador de seguridad en el grupo de grandes Kasperky. «Gran parte de las intrusiones Yeti Agacharse fueron posibles gracias a trojanizing instaladores de software relacionados con TI-ICS legítimos como instaladores del cliente SCADA con el medio VPN e instaladores de controladores de software de la cámara industrial. A continuación, se pondría en peligro los sitios legítimos de distribución de software de empresa y reemplazar los instaladores legítimos con el que se agacha Yeti troyanizado versiones. Las tácticas comprometidas con eficacia ICS e instalaciones relacionadas con SCADA y redes en todo el mundo «.

En pocas palabras, incluso cuando se visita un sitio de distribución compañía legítima, el personal de TI se descarga e instalación de software malicioso ICS-enfocadas. Los esfuerzos de StrongPity hicieron lo mismo.

«El grupo ha desplegado en silencio de día cero en el pasado, los objetivos de eficacia spearphished y mantiene un conjunto de herramientas modulares», dijo Baumgartner.»Mientras que los agujeros de riego e instaladores envenenados son tácticas que se han utilizado con eficacia por otra APT, nunca hemos visto el mismo enfoque en el software criptográfico permitido.»

Y añadió: «Se describe el StrongPity APT ya que no sólo determinados y con buenos recursos, pero bastante imprudente e innovador también.»

Durante la visita a los sitios y la descarga de software de cifrado habilitado, el personal de TI debe verificar la validez de los lugares de distribución y la integridad del archivo descargado en sí. sitios de descarga que no usan PGP o fuertes certificados digitales de firma de código es necesario volver a examinar la necesidad de hacerlo por sus propios clientes, así, Kaspersky recomienda.

The following two tabs change content below.
Consultor freelance de Ciberseguridad. Técnico Superior Informático en Desarrollo de Aplicaciones Multiplataforma y Perito Judicial Informático Forense inscrito con el nº 120 en la Asociación Profesional de Peritos de las Nuevas Tecnologías (PETEC). **Profesional del campo de la Informática desde el año 1988, desarrollando diversos perfiles ocupacionales. Desarrollador Web, Programador de soluciones a medida en diversos lenguajes: Clipper, C++, Visual Basic y Visual Basic .NET. **En el campo de la pericial informática: * Especializado en la identificación, extracción y análisis de evidencias digitales en dispositivos de almacenamiento físicos. * Autentificación y Verificación de correos electrónicos. * Suplantación de identidad y verificación de mensajes en redes sociales. * Recuperación de datos de dispositivos de almacenamiento físicos. * Peritación informática sobre el uso de aplicaciones informáticas durante la actividad laboral. * Fraudes informáticos y phising. ............ Radioaficionado desde hace más de 30 años y fotógrafo nocturno, disfrutando de la noche admirando el patrimonio nacional con otros ojos.