Ορισμένες εκδόσεις του εργαλείου συμπίεσης αρχείων WinRAR και του λογισμικού Winbox έχουν παραβιαστεί και χρησιμοποιούνται για την εγκατάσταση κακόβουλου λογισμικού. Σύμφωνα με τις έρευνες, αυτή η εκστρατεία εξάπλωσης του spyware ξεκίνησε μάλλον κατά το δεύτερο εξάμηνο του 2018 αλλά συνεχίζεται ακόμα. Η εκστρατεία προέρχεται από την ομάδα StrongPity, η οποία ειδικεύεται στις λεγόμενες watering hole επιθέσεις με στόχο την κατασκοπεία.
Η ομάδα StrongPity, γνωστή και ως Promethium, τράβηξε την προσοχή το 2016, όταν χρησιμοποίησε websites για να διανείμει trojanized εκδόσεις των WinRAR και TrueCrypt. Ωστόσο, είναι ενεργή από το 2012. Έχει χρησιμοποιήσει πολλές φορές zero-day ευπάθειες σε spear-phishing επιθέσεις.
Οι ερευνητές της AT & T Alien Labs διαπίστωσαν πριν κάποιες μέρες ένα νέο κακόβουλο λογισμικό. Η εγκατάσταση έγινε από ένα trojanized αλλά πλήρως λειτουργικό αντίγραφο του Winbox (ανάλυση δείγματος) για συστήματα Windows.
Δεν υπήρχε καμία διαφορά στη λειτουργία, για να υποψιαστούν τα θύματα ότι κάτι δεν πάει καλά.
Οι νεότερες εκδόσεις του δημοφιλούς προγράμματος WinRAR (ανάλυση δείγματος) και του Internet Download Manager (ανάλυση δείγματος) χρησιμοποιούνται, επίσης, για την εγκατάσταση spyware από την ομάδα StrongPity.
Το spyware ψάχνει για έγγραφα και επικοινωνεί με τον command and control server μέσω σύνδεσης SSL. Επίσης, σύμφωνα με μια έκθεση των ερευνητών, παρέχει τη δυνατότητα απομακρυσμένης πρόσβασης.
Στο παρελθόν, οι hackers έχουν χρησιμοποιήσει και άλλα δημοφιλή λογισμικά για την εγκατάσταση κακόβουλων λογισμικών. Μερικά από αυτά είναι τα εξής: CCleaner, Driver Booster, Opera Browser, Skype και VLC Media Player, Antivirus και 7-Zip.
Απ’ ότι φαίνεται η ομάδα hackers χρησιμοποιεί μεθόδους και τεχνικές, που έχει χρησιμοποιήσει στο παρελθόν και σε άλλες εκστρατείες για τη διανομή κακόβουλου λογισμικού. Τον Δεκέμβριο του 2017, η ESET είχε κάνει μια αναφορά σχετικά με μια εκστρατεία της ομάδας StrongPity, που αφορούσε έναν πάροχο υπηρεσιών Διαδικτύου.
Η StrongPity στόχευσε κάποια θύματα και όταν εκείνα προσπάθησαν να κατεβάσουν το λογισμικό (το οποίο θεωρούσαν νόμιμο), οδηγήθηκαν στην κακόβουλη έκδοση.
