Gracias a Kaspersky Labs, se ha descubierto una nueva cepa de malware llamada “StrongPity”, esta tiene como objetivo los instaladores de dos programas bastante conocidos, estos son ni más ni menos que WinRAR, uno de los compresores/descompresores de archivos más conocidos y TryeCrypt, programa dedicado a encriptar/desencriptar archivos.
El contenido de este malware tiene la capacidad de no solo el tomar el control total del PC infectado, si no de acceder y robar el contenido de las unidades de almacenamiento del equipo infecto, sino que además es capaz de descargar esa información robada y descargar otros programas que estos cibercriminales necesiten. Se han encontrado usuarios in Italia y Bélgica afectados principalmente, pero no son los únicos países en los que se han dado casos, ya que también se han encontrado en Turquía, África del Norte y en el este central.
Para reunir más víctimas estos cibercriminales han creado páginas web falsas especiales las cuales hospedaban estos dos programas. Uno de los casos fue descubierto por investigadores ya que los cibercriminales transportaban dos letras en un nombre de dominio para aumentar la probabilidad de engañar a las víctimas de esta estafa para hacerles pensar que era un sitio web seguro con un instalador real.
En la imagen que podemos observar encima se puede observar el botón azul que redirigía a los usuarios a ‘ralrab[.]com’, este botón obviamente se trata de un truco de los cibercriminales para engañar a sus víctimas. Una vez clicaban ese botón azul los usuarios este les llevaba hasta la descarga de este software malicioso. Existe un caso en Italia, donde en mayo el usuario en cuestión no fue redirigido al sitio fraudulento, si no hacia el malware “StrongPity” en sí.
Mientras que los links maliciosos de WinRAR ya han sido eliminados, aún existían links que redirigían a los usuarios hasta “StrongPity” desde el instalador de “TrueCrypt” a finales del mes de septiembre.
Esto es un ejemplo muy bueno para hacer ver a los usuarios que no deben fiarse de todo siempre, incluso si parecen páginas oficiales, pueden llegar a ser contenedores de software malicioso.
