Разработчики программы для сжатия файлов WinRAR исправили уязвимость нулевого дня, которая позволяла хакерам устанавливать вредоносное ПО на компьютеры ничего не подозревающих жертв и взламывать их криптовалютные и фондовые торговые счета.

23 августа сингапурская компания Group-IB, специализирующаяся на кибербезопасности, сообщила об уязвимости нулевого дня в обработке формата файлов ZIP программой WinRAR.

Уязвимость нулевого дня, отслеживаемая как CVE-2023-38831, эксплуатировалась в течение примерно четырех месяцев, позволяя хакерам устанавливать вредоносное ПО, когда жертва щелкала на файлах в архиве. Затем вредоносная программа позволяла хакерам взламывать счета для торговли криптовалютами и акциями в Интернете, говорится в отчете.

Используя эксплойт, злоумышленники могли создавать вредоносные архивы RAR и ZIP, в которых отображались, казалось бы, невинные файлы, такие как изображения JPG или текстовые документы PDF. Затем эти ZIP-архивы распространялись на торговых форумах, ориентированных на криптовалютных трейдеров и предлагающих такие стратегии, как "Лучшая персональная стратегия торговли биткоином".

После извлечения и выполнения вредоносная программа позволяет участникам атаки выводить деньги с брокерских счетов. Данная уязвимость эксплуатируется с апреля 2023 года.

В отчете подтверждается, что вредоносные архивы попали как минимум на восемь публичных торговых форумов, заразив не менее 130 устройств, однако финансовые потери жертв неизвестны.

Цепочка заражения эксплойтом WinRar. Источник: Group-IB
Цепочка заражения эксплойтом WinRar. Источник: Group-IB

После выполнения скрипт запускает самораспаковывающийся (SFX) архив, который заражает целевой компьютер различными штаммами вредоносного ПО, такими как DarkMe, GuLoader и Remcos RAT.

Они предоставляют злоумышленнику привилегии удаленного доступа к зараженному компьютеру. Вредоносная программа DarkMe ранее использовалась в криптовалютных и финансово-мотивированных атаках.

Исследователи уведомили компанию RARLABS, которая исправила уязвимость нулевого дня в WinRAR версии 6.23, выпущенной 2 августа.

В августе гигант рынка смартфонов BlackBerry выявил несколько семейств вредоносных программ, активно нацеленных на захват компьютеров с целью майнинга или кражи криптовалют.

В том же месяце в "темной паутине" был обнаружен в продаже новый инструмент удаленного доступа под названием HVNC (Hidden Virtual Network Computer), позволяющий хакерам взламывать операционные системы Apple.

Журнал: Стоит ли криптопроектам вообще вести переговоры с хакерами? Вероятно,

Источник