Το spyware StrongPity2 ανέλαβε τα καθήκοντά του περίφημου FinFisher.
Οι ερευνητές ασφάλειας του διαδικτύου έχουν διαπιστώσει ότι το περίφημο κακόβουλο λογισμικό FinFisher έχει αντικατασταθεί από ένα νέο spyware. Το Finfisher είναι επίσης γνωστό και ως FinSpy , πωλείται συνήθως στις κυβερνήσεις, τα έθνη και τις υπηρεσίες μυστικών πληροφοριών για εκτεταμένους σκοπούς επιτήρησης και μπορεί να χρησιμοποιηθεί για την καταγραφή των πληκτρολογήσεων, για παρακολούθηση καμερών, των μικροφώνων και την περιήγηση στο web, καθώς και την πρόσβαση σε οποιοδήποτε αρχείο σε μία συσκευή.
Ο ερευνητής της ESET, ο Tomas Kafka ανέφερε ότι ένα νέο spyware που ονομάζεται StrongPity2 φαίνεται να έχει αναλάβει την βρώμικη δουλειά και χρησιμοποιεί παρόμοιες τεχνικές όπως το FinFisher. Πήρε το όνομά του από την ομάδα StrongPity.
Οι ερευνητές υποστηρίζουν ότι το Win32/StrongPity2 έχει χρησιμοποιηθεί σε μία σειρά επικίνδυνων και συνάμα αποτελεσματικών επιθέσεων, το οποίο έχει τη δυνατότητα να εκμεταλλεύεται ένα μεγάλο αριθμό δημοφιλών ιστότοπων που βοηθούν στην εγκατάσταση και την διάδοση αυτού του κακόβουλου λογισμικού.
Ο Kafka έγραψε σε μια δημοσίευση στο blog του την Παρασκευή (8 Δεκεμβρίου) ότι: Όπως αναφέρθηκε τον Σεπτέμβριο, σε εκστρατείες που εντοπίσαμε σε δύο διαφορετικές χώρες, οι επιθέσεις Man-in-the-Middle (MitM) χρησιμοποιήθηκαν για να εξαπλωθεί το FinFisher σε κάθε γωνιά του διαδικτύου, και στην πραγματικότητα ο χρήστης έπαιζε τον κυριότερο ρόλο, αφού ήταν αυτός που βοήθησε να μεταφέρει παντού εν αγνοία του το StrongPity2.
Ωστόσο, οι εκστρατείες φάνηκαν να σταμάτησαν αδικαιολόγητα, χωρίς καμία αιτία στις 21 Σεπτεμβρίου, μετά τη δημοσίευση ευρημάτων σχετικά με το θέμα από την ESET.
Ωστόσο η εκστρατεία ξεκίνησε ξανά στις ίδιες χώρες ένα μήνα αργότερα χρησιμοποιώντας την ίδια μεθοδολογία, βασισμένο στη μοναδική δομή του FinFisher.
Όπως και στο FinFisher, η νέα εκστρατεία StrongPity2 χρησιμοποιεί επίσης ανακατευθύνσεις HTTP για ανακατεύθυνση στο πρόγραμμα περιήγησης του τύπου “on the-fly” για να ρυθμίσει με αποτελεσματικότητα την επίθεση και να διανείμει το Sprongware StrongPity2 περαιτέρω.
Η ομάδα του StrongPity χτύπησε πολλές δημοφιλείς ιστοσελίδες και διάφορα γνωστά λογισμικά, όπως το CCleaner v 5.34, το Opera Browser, το Skype, το VLC Media Player v2.2.6 (32bit), το Driver Booster και το WinRAR 5.50.
«Η πρώτη ομοιότητα μεταξύ των 2 spyware είναι το σενάριο της επίθεσης – οι χρήστες προσπαθούν να κατεβάσουν ένα πακέτο εγκατάστασης λογισμικού ανακατευθυνόμενοι σε έναν ψεύτικο ιστότοπο που εξυπηρετεί μια έκδοση trojan που είναι κρυμμένο στο πακέτο εγκατάστασης», ανέφερε η ESET. «Η ομάδα StrongPity παρατηρήθηκε να εκτελεί τέτοιου είδους επιθέσεις το καλοκαίρι του 2016, στοχεύοντας κυρίως Ιταλούς και Βέλγους χρήστες».
