Разработчики программы для сжатия файлов WinRAR исправили уязвимость нулевого дня, которая позволяла хакерам устанавливать вредоносное ПО на компьютеры ничего не подозревающих жертв и взламывать их криптовалютные и фондовые торговые счета.
23 августа сингапурская компания Group-IB, специализирующаяся на кибербезопасности, сообщила об уязвимости нулевого дня в обработке формата файлов ZIP программой WinRAR.
Уязвимость нулевого дня, отслеживаемая как CVE-2023-38831, эксплуатировалась в течение примерно четырех месяцев, позволяя хакерам устанавливать вредоносное ПО, когда жертва щелкала на файлах в архиве. Затем вредоносная программа позволяла хакерам взламывать счета для торговли криптовалютами и акциями в Интернете, говорится в отчете.
Используя эксплойт, злоумышленники могли создавать вредоносные архивы RAR и ZIP, в которых отображались, казалось бы, невинные файлы, такие как изображения JPG или текстовые документы PDF. Затем эти ZIP-архивы распространялись на торговых форумах, ориентированных на криптовалютных трейдеров и предлагающих такие стратегии, как "Лучшая персональная стратегия торговли биткоином".
После извлечения и выполнения вредоносная программа позволяет участникам атаки выводить деньги с брокерских счетов. Данная уязвимость эксплуатируется с апреля 2023 года.
В отчете подтверждается, что вредоносные архивы попали как минимум на восемь публичных торговых форумов, заразив не менее 130 устройств, однако финансовые потери жертв неизвестны.
После выполнения скрипт запускает самораспаковывающийся (SFX) архив, который заражает целевой компьютер различными штаммами вредоносного ПО, такими как DarkMe, GuLoader и Remcos RAT.
Они предоставляют злоумышленнику привилегии удаленного доступа к зараженному компьютеру. Вредоносная программа DarkMe ранее использовалась в криптовалютных и финансово-мотивированных атаках.
Исследователи уведомили компанию RARLABS, которая исправила уязвимость нулевого дня в WinRAR версии 6.23, выпущенной 2 августа.
В августе гигант рынка смартфонов BlackBerry выявил несколько семейств вредоносных программ, активно нацеленных на захват компьютеров с целью майнинга или кражи криптовалют.
В том же месяце в "темной паутине" был обнаружен в продаже новый инструмент удаленного доступа под названием HVNC (Hidden Virtual Network Computer), позволяющий хакерам взламывать операционные системы Apple.
Журнал: Стоит ли криптопроектам вообще вести переговоры с хакерами? Вероятно,
Источник
