Розробники програмного забезпечення для стиснення файлів WinRAR виправили вразливість нульового дня, яка дозволяла хакерам встановлювати зловмисне програмне забезпечення на комп’ютери нічого не підозрюючих жертв, дозволяючи їм зламати їхні криптовалютні та біржові торгові рахунки.
23 серпня сінгапурська фірма з кібербезпеки Group-IB повідомила про вразливість нульового дня в обробці формату файлу ZIP WinRAR.
Уразливість нульового дня, відстежувана як CVE-2023-38831, використовувалася приблизно чотири місяці, дозволяючи хакерам встановлювати зловмисне програмне забезпечення, коли жертва натискала файли в архіві. Відповідно до звіту, зловмисне програмне забезпечення дозволило б хакерам зламати онлайн-акаунти криптовалюти та торгівлі акціями.
Використовуючи експлойт, зловмисники змогли створити шкідливі архіви RAR і ZIP, які відображали на перший погляд невинні файли, такі як зображення JPG або текстові документи PDF. Ці озброєні ZIP-архіви потім були розповсюджені на торгових форумах, націлених на трейдерів криптовалюти, які пропонують такі стратегії, як «найкраща особиста стратегія для торгівлі біткойнами».
Після вилучення та запуску зловмисне програмне забезпечення дозволяє зловмисникам знімати гроші з рахунків брокера. Ця вразливість використовується з квітня 2023 року.
У звіті підтверджено, що шкідливі архіви потрапили на щонайменше вісім публічних торгових форумів, заразивши щонайменше 130 пристроїв, однак фінансові збитки жертви невідомі.
Під час виконання сценарій запускає архів, що саморозпаковується (SFX), який заражає цільовий комп’ютер різними штамами зловмисного програмного забезпечення, наприклад DarkMe, GuLoader і Remcos RAT.
Вони надають зловмисникові привілеї віддаленого доступу до зараженого комп’ютера. Зловмисне програмне забезпечення DarkMe раніше використовувалося в атаках на криптовалюту та фінансово мотивованих атаках.
Дослідники повідомили RARLABS, яка виправила вразливість нульового дня у версії WinRAR 6.23, випущеній 2 серпня.
За темою: інвестори в криптовалюту атакуються новим шкідливим програмним забезпеченням, повідомляє Cisco Talos
У серпні гігант смартфонів BlackBerry виявив кілька сімейств шкідливого програмного забезпечення, які активно мали на меті викрадення комп’ютерів для майнінгу або викрадення криптовалют.
Того ж місяця також було виявлено нещодавно відкритий інструмент віддаленого доступу під назвою HVNC (Hidden Virtual Network Computer), який може дозволити хакерам скомпрометувати операційні системи Apple.
