Se ha descubierto una versión troyanizada de TrueCrypt, una herramienta de código abierto para el cifrado de datos. Al menos desde junio de 2012 el sitio web ruso truecryptrussia.ru ha estado distribuyendo la versión troyanizada de TrueCrypt.
El año pasado los desarrolladores de la popular herramienta abandonaron el proyecto repentinamente y que posteriormente fue rescatado por un grupo de desarrolladores de truecrypt.ch.
De acuerdo con los expertos de seguridad de ESET al estar monitoreando la botnet Potao descubrieron infecciones originadas por TrueCrypt.exe.
Muchas veces los operadores de malware utilizan nombres de archivo que se asemejan a las aplicaciones legítimas, pero en este caso TrueCrypt.exe era el programa binario de la versión descontinuada del software de cifrado. Al seguir investigando encontraron no sólo el malware Potao instalado por una versión troyanizada de TrueCrypt sino que había sido descargado desde el sitio web truecryptrussia.ru que ofrece descargas de TrueCrypt.
Según los investigadores no todas las descargas de TrueCrypt desde el sitio web ruso están infectadas por el malware o contienen un troyano. La versión maliciosa de TrueCrypt fue dirigida a visitantes seleccionados, aunque no se especifica cuál fue el criterio de selección para descargar la versión troyanizada de TrueCrypt. Las víctimas eran seleccionadas cuidadosamente por el grupo de cibercriminales detrás del TrueCrypt malicioso. Por eso fue que estuvo bastante tiempo sin haberse notado la distribución del malware.
El malware dentro de la versión troyanizada de TrueCrypt es identificado como Win32/FakeTC, con dominio utilizado como servidor de comando y control que envía instrucciones a las computadoras infectadas por la puerta trasera.
Los expertos de ESET publicaron sus hallazgos como parte de una investigación más amplia identificada como Operación Potao, una campaña de malware de espionaje dirigido a los usuarios de computadoras en Ucrania y otros territorios postsoviéticos como Rusia, Georgia y Bielorrusia.