Вредоносные версии WinRAR, Winbox и IDM распространяют шпионское ПО

Хакерская APT-группировка StrongPity использует вредоносные версии WinRAR и Winbox в целях установки шпионского ПО. Вредоносная кампания предположительно началась во второй половине 2018 года и продолжается по сей день. Об этом сообщают исследователи из подразделения Alien Labs компании AT&T.

С помощью вышупомянутых вредоносных версий программ злоумышленники распространяют сложное шпионское ПО StrongPity. Вредонос StrongPity привлек к себе внимание экспертов по безопасности еще в 2016 году в кампании по распространению поддельных версий WinRAR и TrueCrypt.

В начале июля 2019 года специалисты из Alien Labs обнаружили новую вредоносную версию Winbox, которая незаметно для пользователя устанавливала вредонос StrongPity на Windows-системы. Кроме прочего, эксперты выявили новые вредоносные версии утилиты WinRAR и менеджера закачек Internet Download Manager (IDM).

Оказавшись на системе StrongPity ищет сохраненные на устройстве документы и поддерживает связь с управляющим сервером через SSL. Вредоносное ПО также обеспечивает удаленный доступ к устройству жертвы, сообщают исследователи.

В предыдущих кампаниях злоумышленники из StrongPity использовали вредоносные версии CCleaner, Driver Booster, Opera Browser, Skype и VLC Media Player. Хотя эксперты не смогли определить, как именно в данной кампании группировка распространяет вредоносные версии утилит, они полагают, что StrongPity используют старую инфраструктуру и привычные методы доставки вредоносного ПО.