WinRAR corrige un error de día cero que afectaba a operadores de acciones y criptomonedas

Los desarrolladores detrás del software de compresión de archivos WinRAR han reparado una vulnerabilidad de día cero que permitía a los piratas informáticos instalar malware en las computadoras de víctimas desprevenidas, lo que les permitió piratear sus cuentas de operaciones con criptomonedas y acciones.
El 23 de agosto, la empresa de ciberseguridad con sede en Singapur Group-IB informó sobre una vulnerabilidad de día cero en el procesamiento del formato de archivo ZIP por WinRAR.
La vulnerabilidad de día cero identificada como CVE-2023-38831 fue explotada durante aproximadamente cuatro meses, lo que permitió a los piratas informáticos instalar malware cuando una víctima hacía clic en archivos de un archivo. El malware luego permitía a los piratas informáticos violar cuentas de operaciones bursátiles y de criptomonedas en línea, según el informe.
Gracias a este exploit, los actores de la amenaza pudieron crear archivos RAR y ZIP maliciosos que mostraban archivos aparentemente inocentes, como imágenes JPG o documentos de texto PDF. Estos archivos ZIP maliciosos se distribuyeron luego en foros de negociación dirigidos a comerciantes de criptomonedas que ofrecían estrategias como "la mejor estrategia personal para operar con Bitcoin".
Una vez extraído y ejecutado, el malware permite a los actores de amenazas retirar dinero de las cuentas de los corredores. Esta vulnerabilidad se ha explotado desde abril de 2023.
El informe confirmó que los archivos maliciosos llegaron a al menos ocho foros comerciales públicos, infectando al menos 130 dispositivos, sin embargo, se desconocen las pérdidas financieras de las víctimas.
Cadena de infección del exploit WinRar. Fuente: Group-IB
Al ejecutarse, el script lanza un archivo autoextraíble (SFX) que infecta la computadora de destino con varias cepas de malware, como DarkMe, GuLoader y Remcos RAT.
Estos proporcionan al atacante privilegios de acceso remoto en el equipo infectado. El malware DarkMe se ha utilizado anteriormente en ataques con fines financieros y de criptomonedas.
Los investigadores notificaron a RARLABS, que solucionó la vulnerabilidad de día cero en la versión 6.23 de WinRAR, lanzada el 2 de agosto.
En agosto, el gigante de los teléfonos inteligentes BlackBerry identificó varias familias de malware que buscaban activamente secuestrar computadoras para minar o robar criptomonedas.
El mismo mes también se reveló que una herramienta de acceso remoto recientemente descubierta llamada HVNC (Hidden Virtual Network Computer) que puede permitir a los piratas informáticos comprometer los sistemas operativos de Apple se encontró a la venta en la web oscura.
Revista: ¿Deberían los proyectos de criptomonedas negociar con los piratas informáticos? Probablemente