寻找最好的加密工具？黑客正在通过假软件传播恶意软件

但事实证明，黑客正利用这一机会，制造和分发假版本的加密工具，以便感染尽可能多的受害者。

卡巴斯基实验室发现了一个名为“高级持续威胁”（APT）的组织强烈的怜悯，该公司在针对数据和通信加密软件的用户方面投入了大量精力。
多年来，该组织一直在利用水坑攻击、受感染的安装程序和恶意软件，通过破坏合法网站或建立自己的恶意复制网站，以加密软件用户为目标。

水坑攻击旨在吸引特定用户群访问他们感兴趣的网站，这些网站通常包含恶意文件，或将其重定向到攻击者控制的下载。

该组织成功感染了欧洲、北非和中东的用户，并在不同的攻击中瞄准了两个免费加密实用程序：温拉尔和磁盘加密软件。

WinRAR和TrueCrypt长期以来在安全和隐私意识强的用户中很受欢迎。WinRAR最为人所知的是它的存档功能，即使用AES-256加密对文件进行加密，而TrueCrypt是一个全磁盘加密实用程序，可以锁定硬盘上的所有文件。

通过设置与合法下载站点相似的假分发站点，StrongPatient能够诱骗用户下载这些加密应用的恶意版本，希望用户使用木马化版本的WinRAR或TrueCrypt应用对其数据进行加密，从而允许攻击者在加密发生之前对加密数据进行监视。

卡巴斯基实验室首席安全研究员库尔特·鲍姆加特纳（Kurt Baumgartner）说：“人们依赖这样的工具的问题不在于加密的强度，而在于它是如何分布的。这就是Strong怜悯正在利用的问题”。

诱杀WinRAR和TrueCrypt下载

APT集团之前在2015年底设立了TrueCrypt主题的水坑，但他们的恶意活动在2016年夏末激增。

7月至9月期间，数十名游客从tamindir[.]改道com到真正的crypt[.]毫不奇怪，几乎所有的焦点都集中在土耳其的计算机系统上，一些受害者在荷兰。

然而，在WinRAR案中，该组织没有将受害者重定向到Strong怜悯控制的网站，而是劫持了合法的WinRAR。它允许网站自行托管恶意版本的文件。

温拉尔。该网站感染的用户大多在意大利，一些受害者来自比利时、阿尔及利亚、突尼斯、法国、摩洛哥和科特迪瓦等国，而攻击者控制着该网站winrar。例如，比利时、阿尔及利亚、摩洛哥、荷兰和加拿大的受感染用户。

感染Strongapt恶意软件的主要国家

据卡巴斯基称，今年有1000多个系统感染了Strong怜悯恶意软件。受该组织影响最大的五个国家是意大利、土耳其、比利时、阿尔及利亚和法国。

APT的dropper恶意软件已与“不寻常的数字证书，”但该组织没有重复使用其伪造的数字证书。它下载的组件包括后门、键盘记录器、数据窃取器和其他与加密相关的软件程序，包括putty SSH客户端、filezilla FTP客户端、Winscp安全文件传输程序和远程桌面客户端。

dropper恶意软件不仅提供黑客对系统的控制，还允许他们窃取磁盘内容并下载其他可能窃取通信和联系信息的恶意软件。

因此，建议访问网站和下载加密软件的用户验证分发网站的有效性以及下载文件本身的完整性。

Baumgartner解释说，不使用PGP或任何强大的数字代码签名证书的下载网站需要重新检查这样做的必要性，以造福于他们以及他们自己的客户。