Zarejestrowana jeszcze w styczniu 2019 roku domena „vera-crypt.com” miała posłużyć w późniejszym czasie do rozgłaszania szkodliwego oprogramowania po sieci. I tak też się stało, na co zwraca uwagę autor prawdziwej aplikacji do szyfrowania dysków — VeraCrypt.
Oprogramowanie VeraCrypt bazuje na kodzie starego TrueCrypt i jest ciągle rozwijane. Raczej nie zawiera błędów albo podatności swojego poprzednika, i jak wynika z naszego poprzedniego artykułu — Służbom policyjnym i federalnym z dwóch krajów należących do sojuszu Pięciorga Oczu (ang. Five Eyes) nie udało się dostać do danych, które były zaszyfrowane przez VeraCrypt. Silne szyfry kryptograficzne są drzazgą na tylnej części ciała policji i służb. Politycy, powołując się na międzynarodowy terroryzm, robią wszystko, aby mieć możliwość podsłuchiwania w czasie rzeczywistym komunikacji, bądź też deszyfrowania nośników czy komunikatorów.
VeraCrypt to oficjalny następca TrueCrypt. Oprogramowanie można zainstalować na Windows, macOS, Linux, FreeBSD, a oficjalna strona aplikacji to „veracrypt.fr” i zawsze taka była.
VeraCrypt to popularne oprogramowanie, dlatego jest na celowniku przestępców
Cyberprzestępcy zawsze wykorzystają każdą okazję, aby dostać się do komputerów użytkowników końcowych. Zatem nikt nie powinien być zaskoczony, że ktoś zarejestrował podobną domenę i próbował rozgłaszać szkodliwe oprogramowanie.
Kampania nie trwała długo, ponieważ w porę dostrzeżono nietypowe ULR-e zawierające złośliwe oprogramowanie, które powiązano z fałszywą stroną vera-crypt.com. Domena została już przejęta przez rejestratora. Strona internetowa nie stwarza zagrożenia dla internautów.
Na VirusTotal zachowały się dwa pliki (jeden i drugi), które były pobierane przez fałszywy instalator do komputerów. Instalator zawierał certyfikat i był podpisany przez Calmic Software Ltd. Trzeba oddać autorowi kampanii, że całkiem nieźle przygotował się do ataku.
Thank you @xavier2dc for your analysis.
Next step would be for @digicert and @symantec to revoke the EV code signing certificate used to sign this malware. https://t.co/Ov1dUkvrcQ— VeraCrypt@IDRIX (@VeraCrypt_IDRIX) January 29, 2020
Prawdziwy właściciel oprogramowania skontaktował się z rejestratorem domeny vera-crypt.com (domains4bitcoins.com), za pośrednictwem którego utworzono domenę. Odpowiedzieli bardzo szybko i zawiesili złośliwą domenę. Osoba, która zarejestrowała domenę, zapłaciła kryptowalutą Bitcoin, dlatego dalsze śledztwo może prowadzić donikąd.
