WinRAR corrige un bug zero-day qui ciblait les traders d'actions et de crypto-monnaies

Les développeurs du logiciel de compression de fichiers WinRAR ont corrigé une vulnérabilité zero-day qui permettait aux pirates d'installer des logiciels malveillants sur les ordinateurs de victimes sans méfiance, leur permettant ainsi de pirater leurs comptes de crypto-monnaie et de trading d'actions.
Le 23 août, la société de cybersécurité Group-IB, basée à Singapour, a signalé une vulnérabilité zero-day dans le traitement du format de fichier ZIP par WinRAR.
La vulnérabilité zero-day, identifiée comme CVE-2023-38831, a été exploitée pendant environ quatre mois, permettant aux pirates d'installer des logiciels malveillants lorsqu'une victime cliquait sur des fichiers dans une archive. Le logiciel malveillant permettrait ensuite aux pirates de pirater des comptes de crypto-monnaie et de trading d'actions en ligne, selon le rapport.
Grâce à cet exploit, les pirates ont pu créer des archives RAR et ZIP malveillantes contenant des fichiers apparemment innocents, tels que des images JPG ou des documents texte PDF. Ces archives ZIP militarisées ont ensuite été distribuées sur des forums de trading ciblant les traders de cryptomonnaies proposant des stratégies telles que « la meilleure stratégie personnelle pour trader avec Bitcoin ».
Une fois extrait et exécuté, le malware permet aux acteurs malveillants de retirer de l'argent des comptes de courtiers. Cette vulnérabilité est exploitée depuis avril 2023.
Le rapport a confirmé que les archives malveillantes ont trouvé leur chemin vers au moins huit forums de trading publics, infectant au moins 130 appareils. Toutefois, les pertes financières de la victime étaient inconnues.
Chaîne d'infection par exploit WinRar. Source : Group-IB
Lors de l'exécution, le script lance une archive auto-extractible (SFX) qui infecte l'ordinateur cible avec diverses souches de logiciels malveillants, telles que DarkMe, GuLoader et Remcos RAT.
Ces derniers fournissent à l'attaquant des privilèges d'accès à distance sur l'ordinateur infecté. Le malware DarkMe a déjà été utilisé dans des attaques à motivation cryptographique et financière.
Les chercheurs ont informé RARLABS qui a corrigé la vulnérabilité zero-day dans la version 6.23 de WinRAR, publiée le 2 août.
En août, le géant des smartphones BlackBerry a identifié plusieurs familles de logiciels malveillants qui visaient activement à détourner des ordinateurs pour exploiter ou voler des crypto-monnaies.
Le même mois, un nouvel outil d'accès à distance appelé HVNC (Hidden Virtual Network Computer), qui peut permettre aux pirates de compromettre les systèmes d'exploitation Apple, a également été découvert en vente sur le dark web.
Magazine : Les projets cryptographiques devraient-ils négocier avec les hackers ? Probablement