" Разработчики программного обеспечения для сжатия файлов WinRAR исправили уязвимость нулевого дня, которая позволяла хакерам использовать ZIP-архивы для устанавливки вредоносного ПО на компьютеры ничего не подозревающих жертв, позволявшее злоумышленнику взламывать их криптовалютные и биржевые торговые счета.
23 августа сингапурская фирма по кибербезопасности Group-IB сообщила об уязвимости нулевого дня при обработке файла формата ZIP с помощью WinRAR.
Уязвимость нулевого дня, обозначенная как CVE-2023-38831, эксплуатировалась в течение примерно четырех месяцев, позволяя хакерам устанавливать вредоносное ПО, когда жертва нажимала на файлы в архиве. Согласно отчету, вредоносное ПО затем позволяло хакерам взламывать торговые онлайн-счета криптовалютных и фондовых бирж.
Используя этот эксплойт, злоумышленники смогли создать вредоносные архивы RAR и ZIP, в которых отображались, казалось бы, невинные файлы, такие как изображения JPG или текстовые документы PDF. Эти превращенные в оружие ZIP-архивы затем распространялись на торговых форумах, ориентированных на криптотрейдеров, предлагая такие стратегии, как «лучшая персональная стратегия для торговли биткойнами».
«После извлечения и запуска вредоносное ПО позволяет злоумышленникам снимать деньги со счетов брокеров. Эта уязвимость эксплуатируется с апреля 2023 года», – говорится в сообщении.
В отчете подтверждено, что вредоносные архивы проникли как минимум на восемь публичных торговых форумов, заразив не менее 130 устройств, однако финансовые потери жертвы неизвестны.
Как WinRAR используется в цепочке заражения. Источник: Group-IB
При выполнении скрипт запускает самораспаковывающийся (SFX) архив, который заражает целевой компьютер различными штаммами вредоносного ПО, такими как DarkMe, GuLoader и Remcos RAT.
Они предоставляют злоумышленнику права удаленного доступа к зараженному компьютеру. Вредоносное ПО DarkMe ранее использовалось в крипто- и финансово мотивированных атаках.
Исследователи уведомили RARLABS, и та исправила уязвимость нулевого дня в WinRAR версии 6.23, выпущенной 2 августа.
В августе гигант смартфонов BlackBerry назвал несколько семейств вредоносных программ, которые активно стремились взломать компьютеры для майнинга или кражи криптовалют.
В июле также было обнаружено средство удаленного доступа под названием HVNC (Hidden Virtual Network Computer), которое может позволить хакерам скомпрометировать операционные системы Apple. Это вредоносное ПО продавалось в даркнете.
